论 strip_tags() 函数防止js脚本注入的作用

sinmu phper 2022-02-24 17:51:02

为什么会想到这个呢?因为关于 strip_tags() 函数的作用,官方手册上说是可以去除 HTML 和 PHP 标记

我就在想说不定可以防止 script 标签
我用下面的代码在web页面测试了一波,的确和我预测的是一致的。

$a = '<script>alert(1)</script>';
// 理论上是会出现弹窗
echo $a;
// 这里如果使用strip_tags() 过滤的话,依旧会出现弹窗行为
$a = '<script>javascript:alert(1)</script>';
// 出现alert(1)
echo strip_tags($a);

那么我是不是可以下定结论,strip_tags() 可以过滤 script 标签呢?这个我也不敢确定,因为我不熟悉js

期待更多脚本注入相关的论点。。。

...全文
321 2 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
sinmu phper 2022-05-06
  • 打赏
  • 举报
 回复

这里有了新的进展,似乎不太行的样子。
比如<<a>script>alert('ciao');<</a>/script>用strip_tags 过滤的话,只会将a标签过滤,过滤之后返回成了一个script脚本。

sinmu phper 2022-05-06
  • 举报
 回复
@sinmu 防止 xss 可以在页面输出时用 htmlspecialchars () ,如果需要输出 HTML ,则使用 github.com/ezyang/htmlpurifier
php字符串过滤strip_tags()函数用法实例分析
例如,如果用户在论坛上提交内容,并试图嵌入恶意脚本代码,strip_tags()函数可以防止这些代码被执行。 接下来我们通过实例来分析strip_tags()函数的应用。首先,如果没有任何参数被指定,函数将去除字符串中的所有...
php 去除html标记--strip_tags与htmlspecialchars的区别详解
本文将详细讲解`strip_tags`和`htmlspecialchars`这两个函数的区别,以及它们在实际应用中的作用。 首先,`strip_tags`函数作用是去除HTML和PHP的标记。其基本语法为`string strip_tags(string str)`,它接收一个...
smarty中先strip_tags过滤html标签后truncate截取文章运用
`strip_tags` 函数的主要作用是从字符串中去除HTML和PHP标签。它保留了字符串中的文本,移除了字符串中的HTML标签。这个函数对于防止XSS攻击非常有用,同时也用于清理输入数据。例如,当用户提交评论或文章,服务器...
PHP关于htmlspecialchars、strip_tags、addslashes的解释
使用strip_tags函数可以有效避免这种情况的发生。需要注意的是,strip_tags函数不会检查HTML标签是否正确闭合,如果输入的HTML代码存在错误,函数仍然会尝试处理并可能返回错误信息。在这一点上,它与fgetss()函数...
PHP strip_tags() 去字符串中的 HTML、XML 以及 PHP 标签的函数
strip_tags()函数的基本作用是从字符串中剥离HTML、XML以及PHP的标签。这意味着如果字符串包含标签,比如<b>hello,函数会返回无标签的纯文本"hello"。这一功能对于清理用户输入的数据尤为有用,可以避免潜在的代码...
PHP开发者社区

15

社区成员

22

社区内容

发帖
与我相关
我的任务
社区描述
我可以对一件事情坚持下去吗
社区管理员
  • Python小叮当
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

佛系记录php的相关知识

试试用AI创作助手写篇文章吧

+ 用AI写文章