поэтому у меня есть сайт, на котором пользователи могут зарегистрироваться, используя имя пользователя по своему выбору, и могут отправлять большие блоки текста и добавлять комментарии. В настоящее время, чтобы предотвратить XSS, я использую strip_tags для данных при вводе в базу данных и вывожу данные только в теле, а не в атрибуте. В настоящее время я вношу изменения в сайт, одним из которых является создание пользовательской страницы, которая загружается, когда кто-то нажимает на имя пользователя (ссылку). Это будет выглядеть так:
<a href="example.com/user/<?php echo $username; ?>">...</a>
Я беспокоюсь, что для переменной $username кто-то может вставить
<a href="example.com/user/user" onClick="javascript:alert('XSS');">...</a>
Я прочитал кучу других сообщений SO об этом, но ни один из них не дал черно-белого ответа. Если я использую следующее для всего текста на выходе, в дополнение к strip_tags на входе:
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
этого будет достаточно, чтобы остановить все XSS-атаки, включая те, которые используют встроенный синтаксис javascript:?
Кроме того, есть ли способ удалить фактические теги html, не удаляя такие вещи, как «Я> ты»?
Спасибо!
