如何在php中修补XSS漏洞

安全
在PHP中修补XSS漏洞,我们可以使用三个PHP函数。

在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

PHP Code:

  1. // 这里的代码首要用于展现这两个函数之间输出的不一样  
  2. $input = '';  
  3. echo htmlspecialchars($input) . '  
  4. ';  
  5. echo htmlentities($input);  
  6. ?>  
  7. htmlentities()的另一个例子  
  8. PHP Code:  
  9. $str = "A 'quote' is bold";  
  10. echo htmlentities($str);  
  11. echo htmlentities($str, ENT_QUOTES);  
  12. ?>  
  13. ***个显示: A 'quote' is <b>bold</b>  
  14. 第二个显示:A 'quote' is <b>bold</b>  
  15. htmlspecialchars()运用实例  
  16. PHP Code:  
  17. $new = htmlspecialchars("Test", ENT_QUOTES);  
  18. echo $new;  
  19. ?>  
  20. 显示: <a href='test'>Test</a>  
  21. strip_tags()函数替代.删除一切的HTML元素(elements),除了须要特别准许的元素之外,如:, 或  
  22. .  
  23. strip_tags()运用实例  
  24. PHP Code:  
  25. $text = '  
  26. Test paragraph.  
  27. Other text';   
  28. echo strip_tags($text);  
  29. echo "\n";  
  30. // allow  
  31.  
  32. echo strip_tags($text, '  
  33. ');  
  34. ?> 


现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

PHP Code:

  1. function search($query$page)  
  2. {  
  3. global $db$bgcolor2$bgcolor4$sitename$io_db$module_url$list_page_items$hm_index;  
  4. $option = trim($option);  
  5. $query = trim($query);  
  6. $query = FixQuotes(nl2br(filter_text($query)));  
  7. $db->escape_string($query);  
  8. $db->escape_string($option);  
  9. alpha_search($query);  
  10. ... 


在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

PHP Code:

  1. PHP Code:  
  2. $query = FixQuotes(nl2br(filter_text(htmlentities($query)))); 

如果你对这三种函数还有有疑问可以使用PHP手册来查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags

 

责任编辑:王文文 来源: 绿色兵团
相关推荐

2013-12-13 10:36:51

2010-08-06 14:11:12

2012-04-12 14:45:13

2011-12-31 13:27:25

2013-07-03 11:28:47

2020-12-21 09:40:06

脚本攻击XSS漏洞

2009-07-21 09:16:56

漏洞windows MobHTC

2023-08-02 09:59:51

2011-02-23 15:22:16

2015-04-02 11:37:54

2024-05-06 12:54:27

2012-06-19 10:01:10

2011-05-13 10:19:03

2009-02-18 15:09:49

2009-07-17 13:05:24

火狐3.5升级版Mozilla技术漏洞

2010-02-12 09:20:33

Windows 7系统漏洞

2023-06-27 11:19:28

2013-07-26 14:59:13

2023-12-31 09:06:08

2020-02-19 10:45:04

开发技能代码
点赞
收藏

51CTO技术栈公众号