黑客24小时在线接单网站

黑客在线接单,网站入侵,渗透测试,渗透网站,入侵网站

xss20021108hm(xss0023_02)

本文导读目录:

php下怎样防止XSS攻击

在PHP中修补XSS漏洞,我们可以使用三个PHP函数。

这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的""与""符号转换成"" 与"gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

PHP Code:

?

// 这里的代码主要用于展示这两个函数之间输出的不同

$input = 'scriptalert(1);/script';

echo htmlspecialchars($input) . 'br /';

echo htmlentities($input);

?

htmlentities()的另一个例子

PHP Code:

?php

$str = "A 'quote' is bbold/b";

echo htmlentities($str);

echo htmlentities($str, ENT_QUOTES);

?

之一个显示: A 'quote' is bbold/b

第二个显示:A 'quote' is bbold/b

htmlspecialchars()使用实例

PHP Code:

?php

$new = htmlspecialchars("a href='test'Test/a", ENT_QUOTES);

echo $new;

?

显示: a href='test'Test/a

strip_tags()函数代替.删除所有的HTML元素(elements),除了需要特别允许的元素之外,如:i, b 或p.

strip_tags()使用实例

PHP Code:

?php

$text = 'pTest paragraph./p!-- Comment -- Other text';

echo strip_tags($text);

echo "\n";

// allow p

echo strip_tags($text, 'p');

?

现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。

首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

PHP Code:

function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);

$query = FixQuotes(nl2br(filter_text($query)));

$db-escape_string($query);

$db-escape_string($option);

alpha_search($query);

...

在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

PHP Code:

$query = FixQuotes(nl2br(filter_text(htmlentities($query))));

如果你对这三种函数还有有疑问可以使用PHP手册来查看:

http://it.php.net/htmlentities

http://it2.php.net/htmlspecialchars

http://it2.php.net/strip_tags

  • 评论列表:
  •  假欢寂星
     发布于 2022-05-31 21:51:20  回复该评论
  • echo htmlentities($str);echo htmlentities($str, ENT_QUOTES);?第一个显示: A 'quote' is bbold/b第二个显示:A 'quote' i
  •  孤央性许
     发布于 2022-06-01 05:32:33  回复该评论
  • 本文导读目录:1、php下怎样防止XSS攻击php下怎样防止XSS攻击在PHP中修补XSS漏洞,我们可以使用三个PHP函数。这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialch
  •  孤鱼缪败
     发布于 2022-06-01 07:02:47  回复该评论
  • $query, $page){global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;$option = t

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.