怎样在php中修补XSS漏洞
发布时间:2022-04-18 14:42:36 所属栏目:安全 来源:互联网
导读:在PHP中修补XSS漏洞,我们可以使用三个PHP函数。 这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的与符号转换成 与;。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entitie
|
在PHP中修补XSS漏洞,我们可以使用三个PHP函数。 这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。 PHP Code: 复制 // 这里的代码首要用于展现这两个函数之间输出的不一样 $input = ''; echo htmlspecialchars($input) . ' '; echo htmlentities($input); ?> htmlentities()的另一个例子 PHP Code: $str = "A 'quote' is bold"; echo htmlentities($str); echo htmlentities($str, ENT_QUOTES); ?> ***个显示: A 'quote' is <b>bold</b> 第二个显示:A 'quote' is <b>bold</b> htmlspecialchars()运用实例 PHP Code: $new = htmlspecialchars("Test", ENT_QUOTES); echo $new; ?> 显示: <a href='test'>Test</a> strip_tags()函数替代.删除一切的HTML元素(elements),除了须要特别准许的元素之外,如:, 或 现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。 首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下: PHP Code: 复制 function search($query, $page) { global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index; $option = trim($option); $query = trim($query); $query = FixQuotes(nl2br(filter_text($query))); $db->escape_string($query); $db->escape_string($option); alpha_search($query); 复制 PHP Code: $query = FixQuotes(nl2br(filter_text(htmlentities($query)))); (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐