Если у меня есть данные xml/html для публикации, нам нужно закодировать данные, чтобы избежать проверки XSS. Поэтому для этого мы должны использовать кодировку HTMLencode или URI.URI encode и HTML encode
Если используется кодировка URI, это вызовет проблемы, поскольку форма POST автоматически URI кодирует все данные перед отправкой.
XSS - это проблема, вызванная нанесением клиенту конфиденциальных данных. Он не может быть разрешен в момент публикации данных.
Чтобы защитить его, HTML кодирует данные (сразу) перед их размещением в документе HTML.
Помните: вход фильтра, выход выхода.
Umm - чтобы избежать инъекции SQL, вы избегаете данных для своей базы данных. – Quentin
@ Давид: Правильно. В чем ваш смысл? Должен ли я сказать «вход для выхода, выход выхода» вместо? –
Фильтр (особенно когда вы кладете его рядом с экранированием) предлагает удалить вещи из данных, а не заменять их безопасными эквивалентами. Вы используете фильтрацию, например, для остановки спама, который вставляется в базу данных. – Quentin
Спасибо, Дэвид, а как насчет кодирования uri? это нормально использовать его вместо кодирования HTML? я имею в виду uri кодировать данные, а затем помещать в скрытый элемент формы и декодировать на сервере конец? –
Это просто затрудняет чтение. Используйте HTML-кодировку для размещения вещей в HTML. – Quentin