В целях предотвращения XSS атак на мой сайт я использую PHP regex
какЗапретить все HTML-теги, кроме <img>
$regex = '/[<>]/';
$preg_replace= ($regex, '', $text);
С этим коды я удалить <
и >
Charaters так проблема делается. Однако теперь я хочу, чтобы этот пользователь мог добавить тег <img>
на мой сайт, в то время как другие теги, такие как <script>
, все равно должны быть запрещены. Как я могу это сделать?
Почему вы используете регулярные выражения для этого ? Что случилось с 'strip_tags', или лучшим инструментом, например html purify? единственный тонкий, который вы собираетесь выполнять с помощью регулярных выражений, - это развращение вашего html и почти наверняка НЕ подключает отверстия, которые вы пытаетесь подключить. –
'' тоже большой риск для XSS-атак. вы не должны допускать этого без тщательной проверки ввода пользователя. –
@FranzGleichmann, как это возможно, я хочу это услышать. –