首頁猿問 html_entity_decod...

html_entity_decode 的用例安全性

PHP

繁華開滿天機(jī) 2023-10-21 10:35:27

我正在使用 php 收集表單數(shù)據(jù)并將其發(fā)送到電子郵件地址。我正在使用 php filter_vars 來清理?xiàng)l目。事實(shí)上，這會返回電子郵件正文中的編碼 html。例如，我變成了I'm$message = "";$message = $_POST["message"];$message = filter_var($message, FILTER_SANITIZE_STRING);$message = wordwrap($message, 70);...$Body .= $message;$success = mail($EmailTo, $Subject, $Body, $headers); 我的問題是：如果我在電子郵件中使用 htmlspecialchars_decode $Body .= htmlspecialchars_decode($message)，我是否會撤消清理并重新打開漏洞？我將如何安全地將編碼的 html 轉(zhuǎn)換為 html 實(shí)體，以便我的客戶可以閱讀電子郵件？

查看完整描述

1 回答

瀟湘沐

TA貢獻(xiàn)1816條經(jīng)驗(yàn) 獲得超6個贊

FILTER_SANITIZE_STRING用于剝離標(biāo)簽，可選擇剝離或編碼特殊字符。

所以你只是剝離標(biāo)簽并編碼其他東西。要不對引號進(jìn)行編碼，請使用過濾器標(biāo)志FILTER_FLAG_NO_ENCODE_QUOTES：

$message?=?filter_var($message,?FILTER_SANITIZE_STRING,?FILTER_FLAG_NO_ENCODE_QUOTES);

但是，htmlspecialchars_decode($message)應(yīng)該沒問題，因?yàn)槟呀?jīng)刪除了 HTML 標(biāo)簽，這只會解碼其他實(shí)體，如引號' "、& 符號&等。話雖這么說，您可以strip_tags($message)首先使用將引號和 & 符號單獨(dú)保留的位置。

反對回復(fù) 2023-10-21