推 shadowjohn: 以前是用bbcode之類的限制,script、event都拿掉09/07 13:06
※ 編輯: chan15 (49.214.163.226), 09/07/2015 13:11:34
→ gname: 最簡單的方式就是自己寫 filter 啊.. 09/07 13:13
推 poiuy999: addslashes($_POST) 09/07 23:43
→ poiuy999: stripcslashes($record) 09/07 23:43
今天內文部分提供了 CKEditor,並且開方編輯 source 的權限
所以 user 是可以寫像 <script>alert(1);</script> 的語法
前台為了呈現其他編輯器的效果是不能用 htmlspecialchars 過濾的
該如何呈現 HTML 又過濾 xss 呢
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.121.168
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1441599621.A.DC2.html