在PHP中修補(bǔ)XSS漏洞����,我們可以使用三個(gè)PHP函數(shù)��。
這些函數(shù)主要用于清除HTML標(biāo)志��,這樣就沒辦法注入代碼了����。使用更多的函數(shù)是htmlspecialchars() ����,它可以將所有的"<"與">"符號(hào)轉(zhuǎn)換成"<" 與">�����;"���。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應(yīng)的字符實(shí)體(entities)替換掉所有想要替換掉的特征碼(characters)�。
PHP Code:
// 這里的代碼主要用于展示這兩個(gè)函數(shù)之間輸出的不同
$input = '';
echo htmlspecialchars($input) . '
';
echo htmlentities($input);
?>
htmlentities()的另一個(gè)例子
PHP Code:
$str = "A 'quote' is bold";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
第一個(gè)顯示: A 'quote' is bold
第二個(gè)顯示:A 'quote' is bold
htmlspecialchars()使用實(shí)例
PHP Code:
$new = htmlspecialchars("Test", ENT_QUOTES);
echo $new;
?>
顯示: Test
strip_tags()函數(shù)代替.刪除所有的HTML元素(elements)���,除了需要特別允許的元素之外�����,如:, 或
.
strip_tags()使用實(shí)例
PHP Code:
$text = '
Test paragraph.
Other text';
echo strip_tags($text);
echo "\n";
// allow
echo strip_tags($text, '
');
?>
現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了�,當(dāng)我們發(fā)現(xiàn)我們的站點(diǎn)存在XSS漏洞時(shí)就可以使用這些代碼了�。我最近在我的站點(diǎn)上的GoogleBig(一個(gè)Mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個(gè)XSS漏洞,因此我就在想如何使用這些函數(shù)寫段代碼來修補(bǔ)這個(gè)搜索漏洞�����。
首先我發(fā)現(xiàn)問題出在search.php這一文件上�,現(xiàn)在讓我們看看這個(gè)查詢及輸出查詢結(jié)果中的部分代碼研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在這種情況下,我們通過使用$query這一值作為變量����,然后使用htmlentities()這一函數(shù):
PHP Code:
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
如果你對這三種函數(shù)還有有疑問可以使用PHP手冊來查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
關(guān)鍵詞標(biāo)簽:php,XSS漏洞
plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法
2021年最好用的10款php開發(fā)工具推薦
在 PHP 中使用命令行工具