2
을 공격 제 기능입니다 즉 <a href="<?php echo $url; ?>">PHP의 filter_var 여기
http://blah.com"onclick="alert(document.cookie)
정규식에 더 나은 URL 유효성 검사기가 있습니까? 또는 실제로 유효한 URL로 테스트하고있는 URL입니다 (이 경우 XSS 정리 기능이 필요합니다).
A
답변
2
이 내장 filter있다 :
filter_var($url, FILTER_VALIDATE_URL);
이것은 당신의 예를 URL로 false을 반환합니다. 유효하면 $url을 반환합니다. 예 :
[email protected]:~$ php -r "var_dump(filter_var('http://blah.com\"onclick=\"alert(document.cookie)', FILTER_VALIDATE_URL));" bool(false)
어쨌든 XSS를 방지하는 방법은 htmlspecialchars을 사용하는 것입니다. 그렇지 않으면 사용자가 javascript: -like "URL을"포함 할 수 있기 때문에,
htmlspecialchars($data, ENT_QUOTES);
그러나 당신은 또한 URL을 확인해야합니다 : 그것은 속성이기 때문에, 당신은 ENT_QUOTES를 사용해야합니다.
관련 문제
- 1. PHP의 filter_var() FILTER_VALIDATE_URL
- 2. PHP의 filter_var, 좋은 현대적인 솔루션입니까?
- 3. PHP - filter_var 및 FILTER_VALIDATE_FLOAT
- 4. PHP는 filter_var 기능
- 5. PHP : filter_var sanitization만큼 안전합니까?
- 6. php, filter_var 또는 htmlentities의 URL 필터링
- 7. 여기
- 8. 여기
- 9. 여기
- 10. 여기
- 11. 여기
- 12. 여기
- 13. 여기
- 14. 여기
- 15. 여기
- 16. 여기
- 17. 여기
- 18. 여기
- 19. 여기
- 20. 여기
- 21. 여기
- 22. PHP의
- 23. PHP의 문제는()
- 24. 자바 여기
- 25. VirtualPathProvider 여기
- 26. 여기 라이브러리
- 27. 매트릭스 여기
- 28. 트리거 여기
- 29. Phing 여기
- 30. ajaxForm 여기
내 코드 읽기 :/ – fire
아 죄송합니다. 선이 너무 길어서 그 부분을 읽지 않았습니다. 그러나 어쨌든, 그것은 거짓을 반환합니다. – Artefacto
http://pastebin.com/9Yvg7Gqn을 실행하여 bool (true)로 덤프를하면 어떻게 될지 이상합니다. – fire