防黑客编码(防XSS编码行为)？

Question

我已经沉迷于php编程一年了。我并不是什么都知道，或者认为自己是professional.but，我想写干净的防黑客代码。例如，我试图研究如何停止XSS attacks.but，它似乎有很多表达式和很多漏洞。我尝试过htmlawed和html净化器。但并不是我写的每个简单的表单或脚本都需要繁重的脚本来保证它的安全性。所以我需要的是:有没有一种我可以遵循的编码风格，让我的编码变得安全？

Answer 1

基本上，为了避免XSS，必须确保用户不能将HTML注入到页面的HTML输出中。

要做到这一点，最简单的方法是对作为HTML发送到浏览器的任何输出使用之类的函数。

这意味着，如果任何人输入类似以下内容(简单示例)：

<script>alert('plop');</script>

页面的HTML将包含：

<script>alert('plop');</script>

并且没有可以解释的HTML / Javascript代码。