如何在php中修補XSS漏洞
在PHP中修補XSS漏洞���,我們可以使用三個PHP函數(shù)��。
這些函數(shù)主要用于清除HTML標志��,這樣就沒辦法注入代碼了�����。使用更多的函數(shù)是htmlspecialchars() �,它可以將所有的"<"與">"符號轉(zhuǎn)換成"<" 與">�����;"��。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應的字符實體(entities)替換掉所有想要替換掉的特征碼(characters)���。
PHP Code:
- // 這里的代碼首要用于展現(xiàn)這兩個函數(shù)之間輸出的不一樣
- $input = '';
- echo htmlspecialchars($input) . '
- ';
- echo htmlentities($input);
- ?>
- htmlentities()的另一個例子
- PHP Code:
- $str = "A 'quote' is bold";
- echo htmlentities($str);
- echo htmlentities($str, ENT_QUOTES);
- ?>
- ***個顯示: A 'quote' is bold
- 第二個顯示:A 'quote' is bold
- htmlspecialchars()運用實例
- PHP Code:
- $new = htmlspecialchars("Test", ENT_QUOTES);
- echo $new;
- ?>
- 顯示: Test
- strip_tags()函數(shù)替代.刪除一切的HTML元素(elements)���,除了須要特別準許的元素之外,如:, 或
- .
- strip_tags()運用實例
- PHP Code:
- $text = '
- Test paragraph.
- Other text';
- echo strip_tags($text);
- echo "\n";
- // allow
-
- echo strip_tags($text, '
- ');
- ?>
現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了�����,當我們發(fā)現(xiàn)我們的站點存在XSS漏洞時就可以使用這些代碼了。我最近在我的站點上的GoogleBig(一個Mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個XSS漏洞��,因此我就在想如何使用這些函數(shù)寫段代碼來修補這個搜索漏洞�。
首先我發(fā)現(xiàn)問題出在search.php這一文件上�,現(xiàn)在讓我們看看這個查詢及輸出查詢結(jié)果中的部分代碼研究一下:
PHP Code:
- function search($query, $page)
- {
- global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
- $option = trim($option);
- $query = trim($query);
- $query = FixQuotes(nl2br(filter_text($query)));
- $db->escape_string($query);
- $db->escape_string($option);
- alpha_search($query);
- ...
在這種情況下,我們通過使用$query這一值作為變量�����,然后使用htmlentities()這一函數(shù):
PHP Code:
- PHP Code:
- $query = FixQuotes(nl2br(filter_text(htmlentities($query))));
如果你對這三種函數(shù)還有有疑問可以使用PHP手冊來查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
分享題目:如何在php中修補XSS漏洞
文章URL:
http://uogjgqi.cn/article/dpjjgec.html
掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
