应用的场景就是用户可以输入任意文本，但是不能输入类似html这样的代码
在php 中可以通过 filter_sanitize_string 去过滤用户输入
过滤之后的内容是不是足够安全了呢，还用作其他的比如针对xss过滤吗
回复内容： 应用的场景就是用户可以输入任意文本，但是不能输入类似html这样的代码
在php 中可以通过 filter_sanitize_string 去过滤用户输入
过滤之后的内容是不是足够安全了呢，还用作其他的比如针对xss过滤吗
标题里面提到了 足够安全 ... 关键就是看你怎么理解这个足够了 ...
对于 xss ... xss 的全称是 cross-site scripting ... 关键点在 scripting ...
如果你用了 filter_sanitize_string ... 肯定就不存在被 xss 的风险了 ...
但这样并不能说就是在任何地方都完全安全 ... 其他的风险依然存在 ...
比如说这样的内容在不经处理之前不能直接写进 sql 语句里面 ...
以及还要看你如何把用户输入的内容显示出来 ...
如果用户输入的内容有可能合法的出现在 script 标签内 ... 也必须要进行额外的处理 ...