[ attack ]+会排除任何xss攻击的机会吗？

Question

我相信只有允许字符在an和an的范围内，才能消除xss攻击的可能性？我读过很多关于将所有输出都通过htmlspecialchars()进行处理的文章，但是在某些情况下，这并不足以提供完全的保护。

此外，如果[a-zA-Z]+完全安全，是否有任何方法完全安全地接受'和-字符，以避免任何可能的xss攻击机会？(因为这是除a以外的名字中的两个主要字符)

Answer 1

这个问题有两个方面。

首先:当然，如果没有办法“脱离上下文”，那么就消除了XSS和SQL注入利用的所有机会。如果只能使用字母字符，就不可能插入JS或SQL。

第二:这当然不是真正的保护，就像再也不开车一样，作为一种不出事故的安全方法。总有一天，你会在你的网站上有输入表单，需要插入其他字符，而你会被搞砸。仅仅编写代码从根本上讲是安全的，从不信任客户端输入，并且正确地逃避由代码生成的所有HTML最终是唯一的安全途径。

您想要做的是解决输入端的输出问题，这根本不起作用。如果你有任意的用户输入，你最终会让人们滥用它来做一些讨厌的事情。了解如何在输出端正确地转义它，使用模板系统(如细枝 )来处理大多数XSS问题，并使用DAL/ORM (如教条 )或良好的参数化数据库访问API (如MySQLi或PDO )来避免SQL注入。