标签：php markdown escaping xss markup

我打算在我的网页上使用Markdown syntax.我会在数据库中保留用户输入(原始,没有转义或其他),然后像往常一样打印出来并使用htmlspecialchars()即时逃脱.

这是它的外观：

echo markdown(htmlspecialchars($content));

通过这样做,我可以防止XSS漏洞和Markdown工作.或者,至少,有点工作.

问题是,让我们说,>语法(我认为还有其他情况).

简而言之,引用你做这样的事情：

&GT这是我的报价.

转义并解析为Markdown之后我得到了这个：

&安培; GT;这是我的报价.

当然,Markdown解析器无法识别& gt;作为“引用的符号”,它不起作用！

标签：php,markdown,escaping,xss,markup
来源： https://codeday.me/bug/20190902/1790545.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。