如何在php中修补XSS漏洞

在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

PHP Code:

 
 
 
    
  
  
  
  1. // 这里的代码首要用于展现这两个函数之间输出的不一样  
    2.   
  
  
  2. $input = '';  
    3.   
  
  
  3. echo htmlspecialchars($input) . '  
    4.   
  
  
  4. ';  
    5.   
  
  
  5. echo htmlentities($input);  
    6.   
  
  
  6. ?>  
    7.   
  
  
  7. htmlentities()的另一个例子  
    8.   
  
  
  8. PHP Code:  
    9.   
  
  
  9. $str = "A 'quote' is bold";  
    10.   
  
  
  10. echo htmlentities($str);  
    11.   
  
  
  11. echo htmlentities($str, ENT_QUOTES);  
    12.   
  
  
  12. ?>  
    13.   
  
  
  13. ***个显示: A 'quote' is bold  
    14.   
  
  
  14. 第二个显示:A 'quote' is bold  
    15.   
  
  
  15. htmlspecialchars()运用实例  
    16.   
  
  
  16. PHP Code:  
    17.   
  
  
  17. $new = htmlspecialchars("Test", ENT_QUOTES);  
    18.   
  
  
  18. echo $new;  
    19.   
  
  
  19. ?>  
    20.   
  
  
  20. 显示: Test  
    21.   
  
  
  21. strip_tags()函数替代.删除一切的HTML元素(elements),除了须要特别准许的元素之外,如:, 或  
    22.   
  
  
  22. .  
    23.   
  
  
  23. strip_tags()运用实例  
    24.   
  
  
  24. PHP Code:  
    25.   
  
  
  25. $text = '  
    26.   
  
  
  26. Test paragraph.  
    27.   
  
  
  27. Other text';   
    28.   
  
  
  28. echo strip_tags($text);  
    29.   
  
  
  29. echo "\n";  
    30.   
  
  
  30. // allow  
    31.   
  
  
  31.  
    32.   
  
  
  32. echo strip_tags($text, '  
    33.   
  
  
  33. ');  
    34.   
  
  
  34. ?> 
    35.

现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

PHP Code:

 
 
 
    
  
  
  
  1. function search($query, $page)  
    2.   
  
  
  2. {  
    3.   
  
  
  3. global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;  
    4.   
  
  
  4. $option = trim($option);  
    5.   
  
  
  5. $query = trim($query);  
    6.   
  
  
  6. $query = FixQuotes(nl2br(filter_text($query)));  
    7.   
  
  
  7. $db->escape_string($query);  
    8.   
  
  
  8. $db->escape_string($option);  
    9.   
  
  
  9. alpha_search($query);  
    10.   
  
  
  10. ... 
    11.

在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

PHP Code:

 
 
 
    
  
  
  
  1. PHP Code:  
    2.   
  
  
  2. $query = FixQuotes(nl2br(filter_text(htmlentities($query)))); 
    3.

如果你对这三种函数还有有疑问可以使用PHP手册来查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags

本文标题:如何在php中修补XSS漏洞
当前URL:http://www.csdahua.cn/qtweb/news43/470293.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网

成都快上网为您推荐相关内容

响应式网站知识

同城分类信息

香港四川國際商會    大英泰恒网站    微信公众号开发    czfdjwx.com    外贸网站设计方案    禾巨建站    达州网站建设    成都App定制    成都微信二次开发    广安网站建设    网络推广公司    品牌网站定制    做移动网站    成都展柜设计公司    成都做网站    网络推广外包    led发光广告字    重庆企业网站建设    成都网络营销公司    广告媒介投放