На Stack Overflow и на других форумах в темах по защите от XSS видел, что люди говорят про то, что htmlentities
не спасет во всех случаях, но почему, никто не говорит (или объяснено очень скупо).
Я не понимаю, почему в некоторых случаях hmtlenties
может не помочь. Ведь эту функция заменяет все символы на html-сущности и поэтому любая вставка вредоносного кода превратиться в обычный текст.
Допустим на сайте пользователь оставил такой комментарий:
<script>hack();alert("Вы взломаны")</script>
Благодаря htmlentites в этом и подобных случаях XSS-атаки не произойдет.
Тогда в каких же случаях htmlentites
может не помочь?
Многие советуют для более полной защиты использовать HTML Purifier, но я абсолютно не понимаю почему нельзя обойтись лишь одним htmlentitites()
Кофе для программистов: как напиток влияет на продуктивность кодеров?
Рекламные вывески: как привлечь внимание и увеличить продажи
Стратегії та тренди в SMM - Технології, що формують майбутнє сьогодні
Выделенный сервер, что это, для чего нужен и какие характеристики важны?
Современные решения для бизнеса: как облачные и виртуальные технологии меняют рынок
Можно ли задать геттер статичным,но при этом сеттер приватным/публичным? И для чего нужны статичные геттеры и сеттеры?
Проблема возникает при компиляцииУ меня 3 действия, если пользователь ввёл не число, а буквы, то программа должна выводить "Пожалуйста, выбирайте...