사용자가 카탈로그의 항목에 대한 간단한 설명을 입력 할 수있게 해주는 웹 응용 프로그램을 만들고 있습니다. 사용자가 HTML 서식을 사용할 수 있도록 Markdown을 내 텍스트 영역에 허용하고 있습니다. - 다른 HTML, "기본도Markdown (strip_tags 포함)으로 XSS 공격을 막을 수 있습니까?
public function sanitizeText($string, $allowedTags = "") {
$string = strip_tags($string, $allowedTags);
if(get_magic_quotes_gpc()) {
return mysql_real_escape_string(stripslashes($string));
} else {
return mysql_real_escape_string($string);
}
}
기본적으로, 나는 데이터베이스에 저장하고있어 모든 마크 다운입니다 :
내 텍스트 위생 기능은 데이터베이스에 삽입하기 전에 입력 된 텍스트에서 모든 태그를 제거합니다 HTML "(여기에 SO와 같이)이 허용됩니다.
markdown을 허용하면 보안상의 위협이 있습니까? 태그가 없어도 마크 아웃을 XSSed 할 수 있습니까?
@ person-b : 편집 해 주셔서 감사합니다. 당신은 당연하지. ^^ –
HTMLPurifier가 멋지다. – Andrew
내가 들었던 것에서부터/사용했다 ;-) 그것은 다소있다. –