admin php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?
![php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?,第1张](/aiimages/php+%E5%85%A5%E5%BA%93%E5%89%8D%E9%9C%80%E8%A6%81%E7%94%A8+htmlspecialchars+%E6%8A%8A%E7%89%B9%E6%AE%8A%E5%AD%97%E7%AC%A6%EF%BC%82%E6%AF%94%E5%A6%82%26amp%3Blt%3B%E7%AD%89%EF%BC%82%E8%BD%AC%E6%8D%A2%E5%90%97%EF%BC%9F%E8%BF%98%E6%98%AF%E8%AF%B4%E5%8E%9F%E6%A0%B7%E5%85%A5%E5%BA%93%EF%BC%8C%E6%98%BE%E7%A4%BA%E7%9A%84%E6%97%B6%E5%80%99%E7%94%A8+htmlspecialchars%EF%BC%9F.png "php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?,第1张")
![php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?,第2张](/uploads/allimg/image/20230531183153.jpg "php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?,第2张")
答:原样入库,输出转义
答:原样入库,保存攻击样本,输出做处理
答:入库不需要吧?不过记得转义引号。显示的时候用 htmlspecialchars 以防止有人插入不在预期内的标签。
答:strip_tags 去掉 script , nl2br 转一下换行,再 pdo 绑定插入,爱咋注入咋注入
答:原样入库,输出转义。
否则,用户要编辑他的内容时,你没办法给他原来的内容。
答:原样入库 输出转义
搞不懂 ueditor 的傻逼逻辑 所有空格转成 nbsp 最后英文都不会换行
答:url 转义, html 转义, xml 转义, sql 转义,正则转义,需要转义的地方很多,如果入库前就过滤,跟为了不得性病把自己阉了有什么区别?
答:原样入库,并使用默认打开转义的模版引擎来渲染前端。
答:原样入库!!!!
输出时,根据业务需求转义
省逻辑,省力
答:我是先转义在入库的。要是输出时没做过滤,不就产生了安全问题么。
答:你不原样入库就产生了很多逗逼应用的问题:在 app 看的时候多了很多 之类的奇怪的东西 233
而且你的数据也可能会因为前端改版什么的需要以 JSON 之类的格式出现,到时候你准备怎么办 233
答:在看到这帖子之前都是入库前过滤,现在改成了出库过滤了。。。
现在想了想,重点看业务,一般情况下输出过滤吧,比较好控制各种输出需求。不然把原始信息都丢了,到时候处理误报之类都没的搞了
答:thinkphp 好像是转的
答:我目前就是入库时转实体,
如:
1 、一个 title 值,对应 varchar 的 mysql 字段,这时候用 htmlentities 转为实体,然后入库
2 、一个 ue 数据,对应 text 的 mysql 字段,这时候用正则 preg_replace_callback 找到<script>标签,并将标签转为实体,然后入库
3 、以上只考虑都是 utf8 格式数据的情况,考虑入库时转实体也是为了输出不用每次都处理
以上,不知道对不对。也没读懂上面说的输出时在转译,是为了什么。
网站模板库 » php 入库前需要用 htmlspecialchars 把特殊字符"比如<等"转换吗?还是说原样入库,显示的时候用 htmlspecialchars?
![[GoLang] 优化连接池: 以 database/sql 为例](/aiimages/%5BGoLang%5D+%E4%BC%98%E5%8C%96%E8%BF%9E%E6%8E%A5%E6%B1%A0%3A+%E4%BB%A5+database%2Fsql+%E4%B8%BA%E4%BE%8B.png)
0条评论