可以使用三個php函數修補xss漏洞
2023-05-10 分類: 網站建設
在php中修補xss漏洞,我們可以使用三個php函數。
這些函數主要用于清除html標志,這樣就沒辦法注入代碼了。使用更多的函數是htmlspecialchars() ,它可以將所有的"<"與">"符號轉換成"<" 與">;"。其它可供選擇的函數還有htmlentities(), 它可以用相應的字符實體(entities)替換掉所有想要替換掉的特征碼(characters)。
php code:
// 這里的代碼主要用于展示這兩個函數之間輸出的不同
$input = '';
echo htmlspecialchars($input) . '
';
echo htmlentities($input);
?>
htmlentities()的另一個例子
php code:
$str = "a 'quote' is bold";
echo htmlentities($str);
echo htmlentities($str, ent_quotes);
?>
先進個顯示: a 'quote' is bold
第二個顯示:a 'quote' is bold
htmlspecialchars()使用實例
php code:
$new = htmlspecialchars("test", ent_quotes);
echo $new;
?>
顯示: te?st
strip_tags()函數代替.刪除所有的html元素(elements),除了需要特別允許的元素之外,如:, 或
.
strip_tags()使用實例
php code:
$text = '
test paragraph.
other text';echo strip_tags($text);
echo "n";
// allow
echo strip_tags($text, '
');
?>
現在我們至少已經知道有這些函數了,當我們發現我們的站點存在xss漏洞時就可以使用這些代碼了。我近在我的站點上的googlebig(一個mybb論壇的插件)視頻部分發現了一個xss漏洞,因此我就在想如何使用這些函數寫段代碼來修補這個搜索漏洞。
m.kartarina.com
首先我發現問題出在search.php這一文件上,現在讓我們看看這個查詢及輸出查詢結果中的部分代碼研究一下:
php code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query); $query = fixquotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在這種情況下,我們通過使用$query這一值作為變量,然后使用htmlentities()這一函數:
php code:
$query = fixquotes(nl2br(filter_text(htmlentities($query))));
網站名稱:可以使用三個php函數修補xss漏洞
網頁URL:http://m.kartarina.com/news40/258840.html
成都網站建設公司_創新互聯,為您提供虛擬主機、品牌網站制作、搜索引擎優化、網站策劃、外貿建站、品牌網站建設
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 網站大氣的精髓在于logo要大!那優化的精髓在于什么呢? 2023-05-10
- CSS中如何設置字體的顏色、風格、大小、類型、重量以及一次設置多個樣式 2023-05-10
- 如何在網站建設設計時掌握更好的創意技巧 2023-05-10
- 用戶體驗讓網站建設更完美 2023-05-10
- 重慶中小企業應使用什么企業郵箱? 2023-05-10
- 新速提醒廣大客戶網站建設的十大誤區 2023-05-10
- 重慶網站在線客服工具是網站營銷的得力助手 2023-05-10
- 網站建設網頁設計中用戶體驗要做到幾個方面 2023-05-10
- 成都網站建設-淺析企業網站建設原則問題 2023-05-10
- 商家為什么有膽量拒絕差評? 2023-05-10
- 成都網站建設告訴你網站文章寫作技巧 2023-05-10
- 新手建設企業官網有哪些要點 2023-05-10
- 網站建設初期需注意事項 2023-05-10
- 淺談設計模式及如何選擇設計模式 2023-05-10
- 網站建設推廣5個重點 2023-05-10
- 做網站過程中不能忽視的幾個方面 2023-05-10
- 如何讓網站上的網頁布局更加合理 2023-05-10
- 360搜索引擎已經推出爬蟲機制,正努力開發自己的競價排名系統 2023-05-10
- 重慶備案信息填報真實性和規范性的有關要求 2023-05-10