Задать вопрос
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.
php

Правилен ли ход мыслей?

Есть поле(допустим комментарий на сайте), он может содержать html код и должен быть выведен, как html код. Достаточным будет обернуть вывод этого поля в теги <code></code> или нет, для защиты от XSS?

Заранее благодарен за ответ!
  • Вопрос задан
  • 292 просмотра
Комментировать
Подписаться Оценить Комментировать
Решения вопроса 1
kawabanga
@kawabanga
Недостаточно. Проверьте сами, введя вот такой код у себя на сайте: 
<div class="comment1" > <script>  alert();</script> </div>


используйте эту библиотеку - htmlpurifier.org , она достаточно простая.
Ответ написан
6 комментариев
6 комментариев
Пригласить эксперта
Ответы на вопрос 2
alektive
@alektive
Любая нормальная CMS проверяет входные данные, особенно комментарии пользователей. Есть стандартные функции в PHP, позволяющие переводить символы "/<:;{ итд в unicode.

P.S Как говорил мой препод - "Пиши программу так, чтобы дурак её случайно не сломал."
Ответ написан
3 комментария
3 комментария
FanatPHP
@FanatPHP
Чебуратор тега РНР
Если у тебя не используется пользовательский ввод, то и защищаться ни от чего не надо.
Если используется, и HTML запрещен, то htmlspecialchars()
Если используется, но HTML разрешен - то htmlpurifier.org
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP-разработчик
FunPay
от 300 000 до 500 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Развернуть web app написанный и готовый, из архива готовый код
20 апр. 2024, в 19:11
4000 руб./за проект
Настроить доступ к Netflix
20 апр. 2024, в 18:04
3000 руб./за проект
Помочь настроить GeoIp у nginx для docker nginx:alpine
20 апр. 2024, в 17:55
3000 руб./за проект
Ещё заказы