-1
私は入力フィールドを持っています。ここではhtmlentities
を使用して値をエンコードしています。エンコードを使用していてもXSSは脆弱です
$value=htmlentities($value);
デシベルに格納された値は次のとおりです。
"/><script>alert(document.cookie)</script><br class="
しかし、私は、ユーザーに上記のテキストを表示しています、アラートが実行されます。どうすればそれを防ぐことができますか?
この機能を使用していない実際の文字にエンティティを変換する関数、