日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何在php中修補(bǔ)XSS漏洞

在PHP中修補(bǔ)XSS漏洞,我們可以使用三個PHP函數(shù)。
這些函數(shù)主要用于清除HTML標(biāo)志,這樣就沒辦法注入代碼了。使用更多的函數(shù)是htmlspecialchars() ,它可以將所有的"<"與">"符號轉(zhuǎn)換成"<" 與">;"。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應(yīng)的字符實(shí)體(entities)替換掉所有想要替換掉的特征碼(characters)。

PHP Code:

 
 
 
    
  
  
  
  1. // 這里的代碼首要用于展現(xiàn)這兩個函數(shù)之間輸出的不一樣  
    2.   
  
  
  2. $input = '';  
    3.   
  
  
  3. echo htmlspecialchars($input) . '  
    4.   
  
  
  4. ';  
    5.   
  
  
  5. echo htmlentities($input);  
    6.   
  
  
  6. ?>  
    7.   
  
  
  7. htmlentities()的另一個例子  
    8.   
  
  
  8. PHP Code:  
    9.   
  
  
  9. $str = "A 'quote' is bold";  
    10.   
  
  
  10. echo htmlentities($str);  
    11.   
  
  
  11. echo htmlentities($str, ENT_QUOTES);  
    12.   
  
  
  12. ?>  
    13.   
  
  
  13. ***個顯示: A 'quote' is bold  
    14.   
  
  
  14. 第二個顯示:A 'quote' is bold  
    15.   
  
  
  15. htmlspecialchars()運(yùn)用實(shí)例  
    16.   
  
  
  16. PHP Code:  
    17.   
  
  
  17. $new = htmlspecialchars("Test", ENT_QUOTES);  
    18.   
  
  
  18. echo $new;  
    19.   
  
  
  19. ?>  
    20.   
  
  
  20. 顯示: Test  
    21.   
  
  
  21. strip_tags()函數(shù)替代.刪除一切的HTML元素(elements),除了須要特別準(zhǔn)許的元素之外,如:, 或  
    22.   
  
  
  22. .  
    23.   
  
  
  23. strip_tags()運(yùn)用實(shí)例  
    24.   
  
  
  24. PHP Code:  
    25.   
  
  
  25. $text = '  
    26.   
  
  
  26. Test paragraph.  
    27.   
  
  
  27. Other text';   
    28.   
  
  
  28. echo strip_tags($text);  
    29.   
  
  
  29. echo "\n";  
    30.   
  
  
  30. // allow  
    31.   
  
  
  31.  
    32.   
  
  
  32. echo strip_tags($text, '  
    33.   
  
  
  33. ');  
    34.   
  
  
  34. ?> 
    35.

現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了,當(dāng)我們發(fā)現(xiàn)我們的站點(diǎn)存在XSS漏洞時就可以使用這些代碼了。我最近在我的站點(diǎn)上的GoogleBig(一個Mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個XSS漏洞,因此我就在想如何使用這些函數(shù)寫段代碼來修補(bǔ)這個搜索漏洞。
首先我發(fā)現(xiàn)問題出在search.php這一文件上,現(xiàn)在讓我們看看這個查詢及輸出查詢結(jié)果中的部分代碼研究一下:

PHP Code:

 
 
 
    
  
  
  
  1. function search($query, $page)  
    2.   
  
  
  2. {  
    3.   
  
  
  3. global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;  
    4.   
  
  
  4. $option = trim($option);  
    5.   
  
  
  5. $query = trim($query);  
    6.   
  
  
  6. $query = FixQuotes(nl2br(filter_text($query)));  
    7.   
  
  
  7. $db->escape_string($query);  
    8.   
  
  
  8. $db->escape_string($option);  
    9.   
  
  
  9. alpha_search($query);  
    10.   
  
  
  10. ... 
    11.

在這種情況下,我們通過使用$query這一值作為變量,然后使用htmlentities()這一函數(shù):

PHP Code:

 
 
 
    
  
  
  
  1. PHP Code:  
    2.   
  
  
  2. $query = FixQuotes(nl2br(filter_text(htmlentities($query)))); 
    3.

如果你對這三種函數(shù)還有有疑問可以使用PHP手冊來查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags


分享標(biāo)題:如何在php中修補(bǔ)XSS漏洞
新聞來源:http://www.5511xx.com/article/dpjjgec.html