0
html 및 xss 삽입을 방지하기 위해 입력에 허용 목록이란 무엇입니까?은 preg_replace() 입력을 허용 목록에 포함하고 있습니까?
정규식으로 preg_replace를 모은 것부터 시작하는 것이 좋습니다. 또 뭐야?
A
답변
0
출력보다 입력을 위생하기가 쉽습니다. 데이터가 한 컨텍스트에서 다음 컨텍스트로 전달 될 때마다 올바른 이스케이프를 적용하십시오. 예를 들어 데이터가 데이터베이스에 전달 될 때 mysqli_real_escape_string을 적용하고 (MySQLi 확장을 사용하는 경우) 데이터를 HTML로 출력 할 때 htmlspecialchars을 적용하는 식으로 진행합니다.
실제로 허용하려는 대상은 무엇입니까? – zerkms
HTML 입력 (xss)을 지우고 싶다면'HTMLPurifier'가'strip_tags' 나 클렌징 정규 표현식보다 나은 대안이 될 수 있습니다. – mario
출력시 올바르게 이스케이프 처리 (상황에 따라 다름) – knittl