PHP过滤器扩展默认设置
发布时间:2022-10-21 15:31:08 所属栏目:PHP教程 来源:
导读: 过滤器扩展不能防止XSS输入字符串。大多数过滤功能都是基于字符集进行有限的消毒。有些像_VALIDATE_EMAIL和_VALIDATE_URL只是根据正则表达式(主要)验证格式。
即使w3fools说:
的FILTER_UNSAF
即使w3fools说:
的FILTER_UNSAF
|
过滤器扩展不能防止XSS输入字符串。大多数过滤功能都是基于字符集进行有限的消毒。有些像_VALIDATE_EMAIL和_VALIDATE_URL只是根据正则表达式(主要)验证格式。 即使w3fools说: 的FILTER_UNSAFE_RAW滤镜不起作用,或者编码和条指定的字符。 您需要将它与_FLAG_STRIP_ *或_FLAG_ENCODE_ *选项结合使用才能使其有用。 而对于FILTER_SANITIZE_SPECIAL_CHARS,你最好使用htmlspecialchars()。 为什么默认过滤器是unsafe_raw。 为了不搞乱现有脚本的行为,默认的过滤器设置是无意的。 如何保护PHP免受此漏洞的影响。我可以修改我的php.ini,但我想在运行,但用的ini_set做到这一点PHP过滤器,... 写出用htmlspecialchars()很短的包装功能,并将其应用到所有输出你做 - 不管输入来自哪里。 通过ini_set()设置默认过滤器函数是不可能的AFAIK,因为过滤器基本上像magic_quotes一样运行。它只在PHP启动时在所有输入数据中调用一次。调用ini_set对现有的输入数组没有影响。 (编辑:航空爱好网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐