跨站攻击攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。
所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。
以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交:
|
表单提交时候数据需要使用htmlentities()转换为HTML实体,然后入库。这样就比较安全,不然入库然后显示到前台可能存在问题,如:
1、用户提交一个表单、非法用户填写了<scription src="xxxxxxxxxxxxxxxxx.php?getCookie=xx"></scription>,这样会讲这段见JS代码添加到页面中,隐形的去获取页面中的所有cookies,这样就会有问题
备注:学PHP的可以加入singwa-php交流群:414982525
singwa简介:
BAT界PHP资深工程师。拥有丰富的大数据、高并发处理、大型网站架构经验。曾在新浪视频负责PHP开发,CCTV6电影网项目经理,现在某大型知名互联网公司负责大数据流的开发。讲课风格激情澎湃,认真负责。