php 只通过 filter 过滤用户输入,是否足够安全?

应用的场景就是用户可以输入任意文本,但是不能输入类似html这样的代码

在php 中可以通过 FILTER_SANITIZE_STRING 去过滤用户输入

过滤之后的内容是不是足够安全了呢,还用作其他的比如针对xss过滤吗

安全 网络安全 php


share
冰蓝soul 10 years, 10 months ago

Answers

标题里面提到了 足够安全 ... 关键就是看你怎么理解这个足够了 ...

对于 XSS ... XSS 的全称是 Cross-site Scripting ... 关键点在 Scripting ...

如果你用了 FILTER_SANITIZE_STRING ... 肯定 就不存在被 XSS 的风险了 ...

但这样并不能说就是在任何地方都完全安全 ... 其他的风险依然存在 ...

比如说这样的内容在不经处理之前不能直接写进 SQL 语句里面 ...

以及还要看你如何把用户输入的内容显示出来 ...

如果用户输入的内容有可能合法的出现在 script 标签内 ... 也必须要进行额外的处理 ...


share
光耀D橘子 answered 10 years, 10 months ago

Your Answer

Ask Question
Related questions

php函数fsockopen引起的安全问题

如何保证Cookie自动登录的安全性

百万级PV网站最低成本的架构和部署以及大数据量的存储设计与优化

表单提交加了enctype="multipart/form-data"后是否会自动起到加密提交...

如何检测网站的安全性

php 数据库操作与页面分离