2023-05-10 分类: 网站建设
在php中修补xss漏洞,我们可以使用三个php函数。
这些函数主要用于清除html标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。
php code:
// 这里的代码主要用于展示这两个函数之间输出的不同
$input = '';
echo htmlspecialchars($input) . '
';
echo htmlentities($input);
?>
htmlentities()的另一个例子
php code:
$str = "a 'quote' is bold";
echo htmlentities($str);
echo htmlentities($str, ent_quotes);
?>
先进个显示: a 'quote' is bold
第二个显示:a 'quote' is bold
htmlspecialchars()使用实例
php code:
$new = htmlspecialchars("test", ent_quotes);
echo $new;
?>
显示: test
strip_tags()函数代替.删除所有的html元素(elements),除了需要特别允许的元素之外,如:, 或
.
strip_tags()使用实例
php code:
$text = '
test paragraph.
other text';
echo strip_tags($text, '
');
?>
现在我们至少已经知道有这些函数了,当我们发现我们的站点存在xss漏洞时就可以使用这些代码了。我近在我的站点上的googlebig(一个mybb论坛的插件)视频部分发现了一个xss漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
www.cdcxhl.com
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:
php code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query); $query = fixquotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:
php code:
$query = fixquotes(nl2br(filter_text(htmlentities($query))));
网站名称:可以使用三个php函数修补xss漏洞
网页URL:https://www.cdcxhl.com/news40/258840.html
成都网站建设公司_创新互联,为您提供虚拟主机、品牌网站制作、搜索引擎优化、网站策划、外贸建站、品牌网站建设
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容