Come posso proteggere questo codice PHP contro XSS?

1

Ho un semplice codice PHP per controllare l'IP:

<?php
$ip = $_SERVER['REMOTE_ADDR'];

e

echo ("<h1><b>Your IP:</b> $ip<h1>");

Se utilizzo htmlentities , il mio html non funziona.

Qual è il modo migliore per proteggerlo contro XSS?

    
posta user134969 19.01.2017 - 12:00
fonte

1 risposta

4

Utilizza htmlentities solo sui dati forniti dall'utente:

<?php
$ip = $_SERVER['REMOTE_ADDR'];
$escaped_ip = htmlentities($ip);
echo ("<h1><b>Your IP:</b> $escaped_ip<h1>");

Se stai scrivendo una vera applicazione, sarebbe meglio usare un linguaggio template che escape valori per impostazione predefinita . Ciò rende più facile per lo sviluppatore farlo correttamente, rendendolo più sicuro.

    
risposta data 19.01.2017 - 13:31
fonte

Leggi altre domande sui tag