国产资源在线播放|不卡无码精品在线观看|欧美在线中文字幕高清的|国产精品一区二区中文字幕|亚洲国产精品网站在线播放|久久久久无码专区亚洲AV|久久久久久久99精品国产片|香蕉视频老熟妇乱子伦精品视频

宜天學堂 Eskying Serve 提供網(wǎng)站策劃、建設(shè)、空間域名、備案服務及技術(shù)支持一站式服務 , 2009年至今已成功服務1200余家客戶, 我們堅持與客戶員工一起成長
-宜心服務 -常見問題 -系統(tǒng)幫助 -支付方式 -客戶答疑 -宜天學堂
如何在php中修補XSS漏洞
2020-06-28 10:13:13  2091

在PHP中修補XSS漏洞,我們可以使用三個PHP函數(shù)。

這些函數(shù)主要用于清除HTML標志,這樣就沒辦法注入代碼了。使用更多的函數(shù)是htmlspecialchars() ,它可以將所有的"<"與">"符號轉(zhuǎn)換成"<" 與">;"。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應的字符實體(entities)替換掉所有想要替換掉的特征碼(characters)。

PHP Code:

// 這里的代碼主要用于展示這兩個函數(shù)之間輸出的不同

$input = '';

echo htmlspecialchars($input) . '

';

echo htmlentities($input);

?>

htmlentities()的另一個例子

PHP Code:

$str = "A 'quote' is bold";

echo htmlentities($str);

echo htmlentities($str, ENT_QUOTES);

?>

第一個顯示: A 'quote' is bold

第二個顯示:A 'quote' is bold

htmlspecialchars()使用實例

PHP Code:

$new = htmlspecialchars("Test", ENT_QUOTES);

echo $new;

?>

顯示: Test

strip_tags()函數(shù)代替.刪除所有的HTML元素(elements),除了需要特別允許的元素之外,如:, 或

.

strip_tags()使用實例

PHP Code:

$text = '

Test paragraph.

Other text';

echo strip_tags($text);

echo "\n";

// allow

echo strip_tags($text, '

');

?>

現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了,當我們發(fā)現(xiàn)我們的站點存在XSS漏洞時就可以使用這些代碼了。我最近在我的站點上的GoogleBig(一個Mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個XSS漏洞,因此我就在想如何使用這些函數(shù)寫段代碼來修補這個搜索漏洞。

首先我發(fā)現(xiàn)問題出在search.php這一文件上,現(xiàn)在讓我們看看這個查詢及輸出查詢結(jié)果中的部分代碼研究一下:

PHP Code:

function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);

$query = FixQuotes(nl2br(filter_text($query)));

$db->escape_string($query);

$db->escape_string($option);

alpha_search($query);

...

在這種情況下,我們通過使用$query這一值作為變量,然后使用htmlentities()這一函數(shù):

PHP Code:

$query = FixQuotes(nl2br(filter_text(htmlentities($query))));

如果你對這三種函數(shù)還有有疑問可以使用PHP手冊來查看:

http://it.php.net/htmlentities

http://it2.php.net/htmlspecialchars

http://it2.php.net/strip_tags

相關(guān)資訊
咨詢

0931-4109028
7*24小時客服服務熱線

關(guān)注官方微信