防止xss攻击的更好方法

Question

这两种方法中哪一种是更好的防止 xss 攻击的方法？

1. 时保存在 db
2. HTMLEntities在显示/回显

HTMLEntities 中时我发现第一个更好，因为您可能会在显示时忘记添加它。

Answer 1

这两种方式哪个是更好的防止xss攻击的方法。

1. 保存在数据库中时的 HTMLEntities
2. 显示/回显时的 HTMLEntities

2 — 您应该在最后一刻转换为目标格式。例如，如果您决定在电子邮件、PDF 中使用相同的内容，作为文本返回给用户进行编辑等，这可以帮助您避免出现问题。

我发现第一个更好，因为您可能会在显示时忘记添加它

而在插入数据库时​​也可能会忘记。

此外，并非所有数据都会进入数据库。例如，由于错误而要插入的数据预览或放回到表单中的数据都是可能的 XSS 向量。您不想处理诸如“在放入数据库之前进行编码，或者如果文档不是来自数据库则在回显文档时进行编码”之类的事情。异常是让自己陷入忘记编码的情况的最好方法。

Answer 2

如果你问我，最好的方法（选项号 3..）是使用最新的 过滤器 扩展来为您处理过滤（PHP5）。我喜欢将 filter_input_array 放在我的 php 文件的顶部保护自己免受 POST XSS 攻击等攻击

$_POST  = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);

您应该阅读过滤器文档（教程）并保护自己免受输入 XSS 攻击。

Answer 3

在显示代码中进行编码的原因（即从数据库读取文本后）：

• 可以在需要修改的非基于 HTML 的 GUI 中查看数据库。修改通用数据库管理工具以自动解码单个应用程序的特定文本（使用哪个字符集？）既不可行也不可取。
• 未正确编码 HTML 意味着您必须相信数据库是安全的。如果直接在数据库或另一个 Web 应用程序中存在漏洞，您的应用程序也将变得容易受到攻击。
• 在数据库中存储编码的 HTML 可以防止搜索；你不能直接使用像 Lucene 这样的专用搜索库。此外，由于 html 编码可能不是双射的，因此全文搜索必须对数据库的解码副本进行操作，或者对数据库中的所有条目进行解码，从而导致 O（数据库大小）性能。
• 如果所有编码代码都集中在显示代码中，未来的编码转换也会变得更加容易。
• 编码增加了占用的存储空间

我在写的时候想不出什么编码的理由。您提到人们可能会忘记在显示逻辑中对数据进行编码，但我认为您同样可能会在存储代码的数据库中忘记它。

Answer 4

更好的方法是在保存到数据库之前使用 strip_tags() 和 htmlentities() （如果您不介意一些额外的数据位）。

但是，请确保您还采取了其他预防措施，通过使用 mysql_real_escape_string() 或准备好的语句数据访问抽象层（例如 PDO）来防止 SQL 注入。