AS3 / PHP - специальные символы

Question

Мне нужно отправить сообщение из контактной формы Flash в PHP. Нужно ли кодировать символы типа '"<> & из-за возможных атак XSS или чего-то еще?

Answer 1

Да, но не из-за XSS для вашего случая.Вы не хотите вмешиваться в вашу строку запроса БД, которая использует одинарные или двойные кавычки.В PHP экранируйте переменные $ _POST или $ _GET с помощью этого

$myString = mysql_real_escape_string($myString);

Если вы выводите эти данные на HTML-страницу, сделайте это на странице вывода

echo htmlentities($row['columnName'], ENT_QUOTES);

При желании вы можетевыполните приведенный выше сценарий, прежде чем вставить его в базу данных тоже

Answer 2

Эти символы являются специальными только в контексте HTML. Если вы не выводите их как часть HTML, в них нет ничего особенного и нет риска XSS. Только экранируйте данные для контекста, в котором вы их используете. Если вы отправляете данные в PHP с помощью JSON, вам нужно кодировать символы JSON, которые являются специальными для JSON. Если вы выводите данные в HTML, вам нужно экранировать HTML специальными символами HTML. Вам не нужно экранировать символы, которые являются особыми в HTML, если нет контекста HTML.