我与 CKEditor (WYSIWIG) 建立了文本区域设置, 允许用户在其中输入信息, 并使用几个标记选项。 但我需要阻止潜在的黑客利用这个功能并输入恶意代码 。
我可以使用一系列允许的标签来剥除我不想使用 PHPs strip_tags () 的标签: < a href="http://php.net/manual/en/formation.strip-tags.php" rel=“no follow” >http://php.net/manual/en/form.strip-tags.php
然而,攻击者可以将 onload或 on kick 等简单添加到允许列表上的任何 HTML 标签上的可能性仍然存在。
那么,我最好的选择是什么来检查这类问题?
我最初的想法是创建这些 JavaScript 函数的黑名单阵列, 然后看看其中是否有任何出现在输入的数据中 。
这听起来像是好办法吗? 还是有更好的替代办法?
使用更强健的工具, 如 "http://htmlpolicer.org/"rel="no follow" >http://htmlpuricer.org/
它允许您对输入进行净化, 添加允许的属性、 标记。 您将会有更多的控制 。
我强烈建议您创建白名单, 而不是黑名单 。 如果存在黑名单, 您可能会跳过一些危险的属性, 而如果存在白名单, 您允许您想要的东西 。
I am trying to write a script to prevent brute-force login attempts in a website I m building. The logic goes something like this: User sends login information. Check if username and password is ...
<?php $con=mysql_connect("localhost","mts","mts"); if(!con) { die( unable to connect . mysql_error()); } mysql_select_db("mts",$con); /* date_default_timezone_set ("Asia/Calcutta"); $date = ...
I found this script online that creates a thumbnail out of a image but the thumbnail image is created with poor quality how can I improve the quality of the image. And is there a better way to create ...
如何确认来自正确来源的数字。
Most sites need some way to show the dates on the site in the users preferred timezone. Below are two lists that I found and then one method using the built in PHP DateTime class in PHP 5. I need ...
I wonder there is a way to post a message to a facebook business page with cURL? thanks
I want to create text as a watermark for an image. the water mark should have the following properties front: Impact color: white opacity: 31% Font style: regular, bold Bevel and Emboss size: 30 ...
How does php cast boolean variables? I was trying to save a boolean value to an array: $result["Users"]["is_login"] = true; but when I use debug the is_login value is blank. and when I do ...
