xss敏感字符是在插入数据库之前转义还是从数据库读取的时候再转义

目前对XSS在哪个过程转义还不是很清晰。如果在插入数据库之前转义，那么有可能会转义后的字符长度超出了数据库字段定义的长度，导致无法存储或者被截断。但如果在从数据库中读取之后再转义，貌似又有点性能问题，比如访问量大的话，每次读取再转义，或多或少有性能损耗。所以一直不知道应该在哪个过程转义比较合适。觉得存储之前和之后转义都有问题。

RISEBY

浏览 1273回答 1

1回答

手掌心

读取之后转义完全可行没什么性能问题例如 springboot的thymeleaf模版都做自动对输出字符串转义如果是前后端分离类似vue也是自动转义的, 而且是在客户端上进行的更加没有性能问题放心用吧..

随时随地看视频慕课网APP