Санитарная обработка пользовательских данных для использования в заголовке страницы без кодирования в сущности?

Очевидно, что одним из основных способов защиты от вредоносного кода от пользователей является кодирование данных в html entities; Однако как насчет при использовании данных на странице title — поскольку заголовок страницы не преобразует объекты для отображения и & будет отображаться буквально как & вместо &,

Мне интересно, какие методы вы можете использовать для очистки данных для использования в заголовках страниц? Я уже запускаю PHP функция strip_tags на данные, однако не уверены, если это должно быть достаточно защиты или я должен делать больше?

Все еще кодировать, но потом делать декодирование для определенных символов?

Редактировать: Скриншот строки заголовка Firefox ниже ..

введите описание изображения здесь

Мой вклад:

<title>Testing 123 - &amp; testing</title>

Источник:

<title>Testing 123 - &amp;amp; testing </title>

Итак, глядя на это, если я правильно понимаю, что он дважды закодировал его, оставляя меня верить, что данные внутри заголовков автоматически кодируются и, таким образом, безопасно вставлять незакодированные данные внутри <title> теги?

Я думаю, мое единственное беспокойство — это относится ко всем клиентам / браузерам? … или есть PHP кодировать это автоматически?

1

Решение

Задача ещё не решена.

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]