xss 공격으로부터 보호하기 위해 입력 및 출력을 필터링하기 위해 pdo를 사용하여 PHP의 htmentities()를 사용해야합니까?나는 php의 htmentities()를 사용하여 입력 및 출력을 필터링하는 pdo를 사용해야합니까?
1
A
답변
4
사용 htmlentities
(또는 바람직 htmlspecialchars
) 때 하는 HTML 맥락에서 사용자가 제공 한 내용을 출력 (즉, 귀하의 웹 사이트에 그것을 표시 할 때). 데이터베이스에 들어가는 HTML 이스케이프 값은 XSS 취약점이 없기 때문에 보통 데이터를 데이터베이스에 저장하고 필요에 따라 나중에 이스케이프합니다.
0
입력을 데이터베이스에 저장하기 전에 htmlentities 또는 htmlspecialchars를 사용해야합니다. 텍스트는 데이터베이스에 한 번만 저장되지만 (프런트 엔드에 편집 옵션이있을 때까지) 여러 번 표시되므로 텍스트를 저장하면 CPU :
+0
CPU 시간이 유효한 카운터 인수이지만 HTML 컨텍스트 (예 : JSON API) 외부에서 데이터를 사용하는 경우 모든 CPU 시간을 사용하여 모든 것을 이스케이프 처리해야합니다. HTML 이스케이프의 오버 헤드 오버 헤드가 병목 현상이 될 때까지 원시 데이터를 저장하는 것이 좋습니다. HTML 컨텍스트에서 데이터를 사용하는 것만 확실합니다. – deceze
관련 문제
- 1. 항상 MySQL을 사용하는 프로젝트는 PDO를 사용해야합니까?
- 2. xcodebuild 명령 줄 출력을 필터링하는 방법은 무엇입니까?
- 3. PHP의 키보드 입력
- 4. Delphi 2010 컴파일러 출력을 필터링하는 방법 (힌트)?
- 5. PHP의 표준 출력 데이터를 스트리밍 필터링하는 방법은 무엇입니까?
- 6. 어떻게 CentOS를 사용하여 PDO를 활성화합니까?
- 7. 입력 확인은 PHP의 합계입니다.
- 8. PHP의 선택적 함수 입력
- 9. PHP의 PDO를 단일 쿼리로 제한 할 수 있습니까?
- 10. PHP의 엄격한 HTML 유효성 검사 및 필터링
- 11. 하위 프로세스를 실행하고 Java에서 입력 및 출력을 올바르게 제공하십시오.
- 12. PDO를 사용하여 mysql_connect - 형식을 바꿉니 까?
- 13. PHP : PDO를 사용하여 MySQL에서 이미지 가져 오기
- 14. 새 Sitecore.Search API를 사용하여 정렬/필터링하는 방법
- 15. PDO를 사용하여 SQL Server 2008에 연결
- 16. php와 linux를 통해 pdo를 사용하여 mssql에 연결하기
- 17. PHP에서 PDO를 사용하여 데이터베이스를 만들 수 있습니까?
- 18. pdo를 사용하여 CRUD 작업을 수행하려면 어떻게해야합니까?
- 19. 어떤 시나리오에서 PHP의 마법 함수를 사용해야합니까? toString()
- 20. PHP의 메소드 시그니처가 반드시 필요합니까? 아니면 사용해야합니까?
- 21. 사용자 입력 및 출력을 안전하고 편리하게 살균하는 실질적인 방법은 무엇입니까
- 22. Windowed C++ 프로젝트에서 콘솔 입력 및 출력을 얻는 방법은 무엇입니까?
- 23. 입력 및 출력을 R의 텍스트 파일로 싱크하는 방법은 무엇입니까?
- 24. PHP의 passthru() vs shell_exec()
- 25. PHP의 foreach 문 및 참조는
- 26. 왜 나는 애니메이션에서 CATransaction을 사용해야합니까?
- 27. Java 외부 스크립트를 열고 입력/출력을 제공합니다.
- 28. Python - grep과 같은 방식으로 파이썬 쉘에서 출력을 필터링하는 방법은 무엇입니까?
- 29. jtextArea 또는 JEditorPane에서 콘솔 입력 및 출력을 얻는 방법
- 30. 일치하는 입력 문자열의 수를 기반으로 사용자 텍스트 입력 및 그룹화를 사용하여 드롭 다운을 필터링하는 모든 jquery 1.3 호환 플러그인
필터 출력, 입력되지 않았습니다. – BoltClock
인코딩 할 때보다 더 중요한 것은 두 번째 (ENT_QUOTES)와 세 번째 매개 변수 (charset)입니다. - 모든 HTML 태그 및 인용 된 속성에서 이스케이프 처리 된 문자열을 이스케이프 처리합니다. – mario