私はユーザーがカタログ内の項目の短い説明を入力できるWebアプリケーションを開発中です。私はMarkdownを自分のテキストエリアに許可しているので、ユーザーはHTMLフォーマットを行うことができます。 - いいえ、他のHTML、「基本さえXSS攻撃を阻止するにはmarkdown(strip_tags付き)で十分ですか?
public function sanitizeText($string, $allowedTags = "") {
$string = strip_tags($string, $allowedTags);
if(get_magic_quotes_gpc()) {
return mysql_real_escape_string(stripslashes($string));
} else {
return mysql_real_escape_string($string);
}
}
基本的に、私は、データベースに格納していますすべての値下げです:
マイテキストサニタイズ機能は、データベースに挿入する前に、入力されたテキストからすべてのタグを取り除きHTML "(ここではSOと同じ)が許可されています。
markdownを許可すると、セキュリティ上の脅威が生じる可能性がありますか?タグがないのに、マークダウンをXSSできますか?
@ person-b:編集に感謝します。あなたはもちろんです^^ –
HTMLPurifierは素晴らしいですね。 – Andrew
これはちょっと、私が聞いたことから/使用しました;-) –