empêcher les htmlentities de détruire les caractères utf8 ಠ_ಠ

Je veux filtrer ma sortie pour la rendre plus sûre à partir des attaques XSS (Cross Site Scripting), donc je filtre la sortie avec htmlentities. Le problème est, j'essaye de rendre mon application utf8 compatible ainsi quand j'entre quelque chose comme ಠ_ಠ je voudrais qu'il soit maintenu une fois extrait de la base de données. Existe-t-il une solution simple pour y parvenir? Merci d'avance pour tout conseil.empêcher les htmlentities de détruire les caractères utf8 ಠ_ಠ

Source

2010-07-14 Scarface

Trois choses

HTML est une sortie sanitization échapper tâche, pas l'entrée filtrage. Vous devez pas effectuer cette tâche avant le stockage, vous ne devriez le faire avant d'afficher.
Si vous essayez d'empêcher XSS, vous n'avez pas besoin d'utiliser htmlentities() - htmlspecialchars() est suffisant. htmlentities() est utilisé uniquement lors de la tentative de rendu d'un contenu à partir d'un codage de caractères différent du codage natif.
Both functions accepter un codage de caractères comme troisième argument.

Alors, enfin:

echo htmlspecialchars($content, ENT_QUOTES, 'UTF-8');

Où si vous avez utilisé ENT_NOQUOTES vous pourriez être vulnérable à certains types de XSS.

Source

2010-07-14 22:25:49

merci beaucoup Peter, grande information – Scarface

This_ಠ ಠ_ಠ ಠ_ಠ ಠ_ಠ ಠ_ಠ – Scarface

-1 Ceci n'arrête pas tous les xss, les guillemets sont dangereux. – rook

$var=htmlspecialchars($var,ENT_QUOTES,"UTF-8");

Source

2010-07-14 22:20:31 rook

et qui filtrera encore la sortie les mêmes entités d'attente le feraient? – Scarface

Regardez la documentation PHP pour savoir comment htmlspecialchars et htmlentities diffèrent. –

@Scarface Non, c'est beaucoup mieux d'arrêter XSS que htmlentties(). Il y a des cas où vous n'avez pas besoin de '<>', par exemple si vous êtes dans une balise body et que vous injectez un 'onload =', et cela empêchera cela. – rook

empêcher les htmlentities de détruire les caractères utf8 ಠ_ಠ

Répondre

Questions connexes