Так что я пытаюсь разработать лучший способ для дезинфекции xss для безопасного вывода пользователю.Могу ли я безопасно выводить данные пользователю с помощью этого sanitize
Более или менее при хранении значений из формы im с использованием strip_tags(); затем bind_params();
И когда Im собирается выводить данные пользователю Im также используя htmlentities();
Данные будут отображаться внутри <p>
и <a>
теги.
например:
<p> Some data from user </p>
<a href=""> Some data from user </p>
Должен
эта работа?
Index.php
<form action="sante.php" method="post">
Name: <input type="text" name="fname">
Age: <input type="text" name="age">
<input type="submit">
</form>
А потом sante.php
<?php
$name = $_POST["fname"];
$age = $_POST["age"];
$namn = strip_tags($name); // then storing into mysql with bind_param
$older = strip_tags($age); // then storing into mysql with bind_param
// before output, htmlentities
function safe($value) {
htmlentities($value, ENT_QUOTES, 'utf-8');
return $value;
}
// Now showing values
echo safe($namn). "<br>";
echo "<p>" .safe($older) . "</p>";
?>
Спасибо, да пользователю должно быть разрешено только чистый текст – user2654458