这个消毒剂里面有XSS漏洞吗？

Question

我想确保我的消毒液里没有漏水。而且，im只在硬编码的p标记和h1标记中输出用户数据。

例：<p><?php echo htmlspecialchars($user_data); ?></p>

所以这是一个安全的方法来保护我免受XSS注射。

首先，im使用此函数在数据插入到我的数据库之前对其进行卫生处理，而在我的DB im中则使用bind_param。

function sanitize($str) {
   return strtolower(strip_tags(trim(($str))));
}

sanitize($user_data); - > then gets inserted into db

然后，当我从DB获取数据时，我使用它来显示它。

<p> <?php echo htmlspecialchars($user_data); ?> </p>

那么，这是阻止任何XSS的安全方法吗？

谢谢!

Answer 1

从安全的角度来看，只要您为输出的介质正确地转义/处理数据，就没有必要使用您的消毒功能：

• 使用htmlspecialchars()是输出到html所需的一切；
• 如果需要输出到javascript，可以使用json_encode；
• 将准备好的语句与数据库的绑定变量一起使用；
• 等。