<label id="2a06w"><tt id="2a06w"></tt></label><label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label><menu id="2a06w"></menu>
  • <dfn id="2a06w"><var id="2a06w"><label id="2a06w"></label></var></dfn>
    <sup id="2a06w"><button id="2a06w"><em id="2a06w"></em></button></sup>
    <dfn id="2a06w"><var id="2a06w"></var></dfn>
    <dfn id="2a06w"></dfn>
  • <dfn id="2a06w"><code id="2a06w"><ins id="2a06w"></ins></code></dfn>
  • <small id="2a06w"><samp id="2a06w"></samp></small>
  • <dfn id="2a06w"><table id="2a06w"><center id="2a06w"></center></table></dfn>
    <label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label>
    <strike id="2a06w"><form id="2a06w"></form></strike>
    <menu id="2a06w"><tt id="2a06w"></tt></menu>

    將想法與焦點(diǎn)和您一起共享

    如何在php中修補(bǔ)XSS漏洞發(fā)布者:本站     時間:2020-05-06 16:05:52

    在PHP中修補(bǔ)XSS漏洞,我們可以使用三個PHP函數(shù)。

    這些函數(shù)主要用于清除HTML標(biāo)志,這樣就沒辦法注入代碼了。使用更多的函數(shù)是htmlspecialchars() ,它可以將所有的"<"與">"符號轉(zhuǎn)換成"<" 與">;"。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應(yīng)的字符實(shí)體(entities)替換掉所有想要替換掉的特征碼(characters)。

    PHP Code:

    // 這里的代碼主要用于展示這兩個函數(shù)之間輸出的不同

    $input = '';

    echo htmlspecialchars($input) . '
    ';

    echo htmlentities($input);

    ?>

    htmlentities()的另一個例子

    PHP Code:

    $str = "A 'quote' is bold";

    echo htmlentities($str);

    echo htmlentities($str, ENT_QUOTES);

    ?>

    第一個顯示: A 'quote' is <b>bold</b>

    第二個顯示:A 'quote' is <b>bold</b>

    htmlspecialchars()使用實(shí)例

    PHP Code:

    $new = htmlspecialchars("Test", ENT_QUOTES);

    echo $new;

    ?>

    顯示: <a href='test'>Test</a>

    strip_tags()函數(shù)代替.刪除所有的HTML元素(elements),除了需要特別允許的元素之外,如:, 或

    .

    strip_tags()使用實(shí)例

    PHP Code:

    $text = '

    Test paragraph.

    Other text';
    echo strip_tags($text);

    echo "\n";

    // allow


    echo strip_tags($text, '

    ');

    ?>

    現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了,當(dāng)我們發(fā)現(xiàn)我們的站點(diǎn)存在XSS漏洞時就可以使用這些代碼了。我最近在我的站點(diǎn)上的GoogleBig(一個Mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個XSS漏洞,因此我就在想如何使用這些函數(shù)寫段代碼來修補(bǔ)這個搜索漏洞。

    首先我發(fā)現(xiàn)問題出在search.php這一文件上,現(xiàn)在讓我們看看這個查詢及輸出查詢結(jié)果中的部分代碼研究一下:

    PHP Code:

    function search($query, $page)

    {

    global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

    $option = trim($option);

    $query = trim($query);

    $query = FixQuotes(nl2br(filter_text($query)));

    $db->escape_string($query);

    $db->escape_string($option);

    alpha_search($query);

    ...

    在這種情況下,我們通過使用$query這一值作為變量,然后使用htmlentities()這一函數(shù):

    PHP Code:

    $query = FixQuotes(nl2br(filter_text(htmlentities($query))));

    如果你對這三種函數(shù)還有有疑問可以使用PHP手冊來查看:

    http://it.php.net/htmlentities

    http://it2.php.net/htmlspecialchars

    http://it2.php.net/strip_tags



    選擇我們,優(yōu)質(zhì)服務(wù),不容錯過
    1. 優(yōu)秀的網(wǎng)絡(luò)資源,強(qiáng)大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
    2. 15年上海網(wǎng)站建設(shè)經(jīng)驗(yàn),優(yōu)秀的技術(shù)和設(shè)計(jì)水平,更放心
    3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
    ------------------------------------------------------------
    24小時聯(lián)系電話:021-58370032
    99人妻中文字幕视频在,亚洲无码视频在线免费看,久久国产乱子伦免费精品,日本中文字幕色视频网站
    <label id="2a06w"><tt id="2a06w"></tt></label><label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label><menu id="2a06w"></menu>
  • <dfn id="2a06w"><var id="2a06w"><label id="2a06w"></label></var></dfn>
    <sup id="2a06w"><button id="2a06w"><em id="2a06w"></em></button></sup>
    <dfn id="2a06w"><var id="2a06w"></var></dfn>
    <dfn id="2a06w"></dfn>
  • <dfn id="2a06w"><code id="2a06w"><ins id="2a06w"></ins></code></dfn>
  • <small id="2a06w"><samp id="2a06w"></samp></small>
  • <dfn id="2a06w"><table id="2a06w"><center id="2a06w"></center></table></dfn>
    <label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label>
    <strike id="2a06w"><form id="2a06w"></form></strike>
    <menu id="2a06w"><tt id="2a06w"></tt></menu>