के लिए पर्याप्त ज़ेंड दृश्य में $-- escape() $ Zज़ेंड व्यू में बहुत कुछ करता है। क्या यह एक्सएसएस को रोकने के लिए पर्याप्त है?ज़ेड दृश्य में xss
ज़ेंड फ्रेमवर्क के बाहर HTMLPurifier है। मुझे आश्चर्य है कि कैसे ज़ेंड $this->escape() HTMLPurifier की तुलना करता है।
भागने htmlspecialchars का उपनाम है। यह आपको सादा पाठ आउटपुट करने की अनुमति देता है, जबकि HTMLPurifier आपको सुरक्षित HTML आउटपुट करने की अनुमति देता है।
आपके पास सादा पाठ के साथ एक्सएसएस नहीं हो सकता है।
यदि आप किसी उपयोगकर्ता इनपुट (उदाहरण के लिए समृद्ध टेक्स्ट एडिटर) से आने वाले सुरक्षित HTML को आउटपुट करना चाहते हैं तो आपको स्ट्रिप_टैग के बजाय HTMLPurifier का उपयोग करना होगा।
HTMLPurifier विभिन्न उद्देश्यों की सेवा कर रहा है। HTMLPurifier HTML से बच नहीं है ... ठीक है, बिल्कुल नहीं। यह एक कॉन्फ़िगरेशन लेता है जो आप इसे देते हैं जो परिभाषित करता है कि HTML में क्या अनुमति है और क्या नहीं है, और यह उस पर आधारित है। परिणाम वास्तव में अभी भी एचटीएमएल है, कुछ चीजों को हटाया/sanitized के साथ।
बच() कि दूसरी तरफ HTML निकाय में HTML की तरह पात्रों घूम रहा है, ताकि वे बजाय HTML के रूप में व्याख्या की जा रही ब्राउज़र में एक ही वर्ण प्रस्तुत करना (जैसे & ->&, < -><, > ->> और इसी तरह)।
विभिन्न लक्ष्य।
क्या यह आपको एक्सएसएस मुद्दों से बचाता है? हां, लेकिन सुनिश्चित करें कि आपने अपने चरित्र एन्कोडिंग को सही तरीके से कॉन्फ़िगर किया है।