2023-05-10 分類: 網站建設
在php中修補xss漏洞,我們可以使用三個php函數。
這些函數主要用于清除html標志,這樣就沒辦法注入代碼了。使用更多的函數是htmlspecialchars() ,它可以將所有的"<"與">"符號轉換成"<" 與">;"。其它可供選擇的函數還有htmlentities(), 它可以用相應的字符實體(entities)替換掉所有想要替換掉的特征碼(characters)。
php code:
// 這里的代碼主要用于展示這兩個函數之間輸出的不同
$input = '';
echo htmlspecialchars($input) . '
';
echo htmlentities($input);
?>
htmlentities()的另一個例子
php code:
$str = "a 'quote' is bold";
echo htmlentities($str);
echo htmlentities($str, ent_quotes);
?>
先進個顯示: a 'quote' is bold
第二個顯示:a 'quote' is bold
htmlspecialchars()使用實例
php code:
$new = htmlspecialchars("test", ent_quotes);
echo $new;
?>
顯示: te?st
strip_tags()函數代替.刪除所有的html元素(elements),除了需要特別允許的元素之外,如:, 或
.
strip_tags()使用實例
php code:
$text = '
test paragraph.
other text';
echo strip_tags($text, '
');
?>
現在我們至少已經知道有這些函數了,當我們發現我們的站點存在xss漏洞時就可以使用這些代碼了。我近在我的站點上的googlebig(一個mybb論壇的插件)視頻部分發現了一個xss漏洞,因此我就在想如何使用這些函數寫段代碼來修補這個搜索漏洞。
m.newbst.com
首先我發現問題出在search.php這一文件上,現在讓我們看看這個查詢及輸出查詢結果中的部分代碼研究一下:
php code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query); $query = fixquotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在這種情況下,我們通過使用$query這一值作為變量,然后使用htmlentities()這一函數:
php code:
$query = fixquotes(nl2br(filter_text(htmlentities($query))));
網站名稱:可以使用三個php函數修補xss漏洞
網頁URL:http://m.newbst.com/news40/258840.html
成都網站建設公司_創新互聯,為您提供虛擬主機、品牌網站制作、搜索引擎優化、網站策劃、外貿建站、品牌網站建設
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容