为什么要用htmlspecialchars()来处理用户提交的数据

最新推荐文章于 2021-02-07 08:30:23 发布
最新推荐文章于 2021-02-07 08:30:23 发布
阅读量610 收藏
点赞数
分类专栏: PHP 文章标签: php html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jay_Kwok/article/details/106098658
版权

刚开始不理解,后面查了一些资料大概懂了

$_SERVER[“PHP_SELF”] 变量有可能会被黑客使用!

当黑客使用跨网站脚本的HTTP链接来攻击时, S E R V E R [ " P H P S E L F " ] 服 务 器 变 量 也 会 被 植 入 脚 本 。 原 因 就 是 跨 网 站 脚 本 是 附 在 执 行 文 件 的 路 径 后 面 的 , 因 此 _SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此 SERVER["PHPSELF"]_SERVER[“PHP_SELF”]的字符串就会包含HTTP链接后面的JavaScript程序代码。

指定以下表单文件名为 “test_form.php”:

<form method=“post” action="<?php echo $_SERVER["PHP_SELF"];?>">
现在,我们使用URL来指定提交地址 “test_form.php”,以上代码修改为如下所示:

这样做就很好了。

但是,考虑到用户会在浏览器地址栏中输入以下地址:

http://www.runoob.com/test_form.php/%22%3E%3Cscript%3Ealert(‘hacked’)%3C/script%3E
以上的 URL 中,将被解析为如下代码并执行:

代码中添加了 script 标签,并添加了alert命令。 当页面载入时会执行该Javascript代码(用户会看到弹出框)。 这仅仅只是一个简单的实例来说明PHP_SELF变量会被黑客利用。

请注意, 任何JavaScript代码可以添加在

如何避免 $_SERVER[“PHP_SELF”] 被利用?
$_SERVER[“PHP_SELF”] 可以通过 htmlspecialchars() 函数来避免被利用。

form 代码如下所示:

<form method=“post” action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
htmlspecialchars() 把一些预定义的字符转换为 HTML 实体。现在如果用户想利用 PHP_SELF 变量, 结果将输出如下所示:

尝试该漏洞失败!

来源:https://www.runoob.com/php/php-form-validation.html

Jay Kwok
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】
12-18
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入和XSS(跨站脚本)攻击。以下是如何使用PHP来实现这些防护措施的详细解释: 1. **防止SQL注入**: - **mysql_real_escape_string...
PHP对表单提交特殊字符的过滤和处理方法汇总
12-18
总结来说,这些函数在处理用户提交的表单数据时扮演着关键角色,通过合理组合使用,可以有效地保护网站免受恶意输入的影响。例如,你可能先使用htmlspecialchars处理用户输入以防止XSS,然后使用mysql_real_escape_...
为什么用要HTMLSpecialChars
风之子的专栏
12-23 3325
为什么用要HTMLSpecialChars 这个函数将一些特殊字符转换一下. 比如说 & (ampersand) becomes & " (double quote) becomes " when ENT_NOQUOTES is not set. (single quote) becomes ' only when
php提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加
gayayzy的专栏
02-10 2178
php提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加,像这样的小错误: 如果没加那个函数,我就提交这样的数据: 这样的数据。 这样的结果是不会让浏览者中毒的,而是会让页面在两秒后自动刷新并跳转到http://www.gayayang.com这个网站。 记住这句代码:很有用的。
PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端
思维的世界
05-04 657
    当对表单传递过来的参数用 htmlspecialchars 对特殊字符(&amp; ,' ," ,&lt; ,&gt; )进行编码时(由于插入数据库安全过滤的需要),会出现如下问题。         如果用户上传了一个文件是带有特殊字符的,如 ' ,文件名保存到数据库就会发生以下问题。             如果你服务器端的 PHP 代码是通过 $_GET['id'] 间...
htmlspecialchars() 函数的用法及过滤XSS的问题
滴水石穿
08-31 5935
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
phphtmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 493
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
php简单案例-表单提交-简单登录-数据输出
11-29
用户提交表单后,PHP脚本`login.php`将接收到这些数据。首先,我们需要对这些数据进行接收并进行安全检查,例如使用`htmlspecialchars`防止XSS攻击。然后,可以使用`$_POST`全局变量来获取表单字段的值: ```...
PHP htmlspecialchars() 函数实例代码及用法大全
10-18
在实际开发中,`htmlspecialchars()` 应该广泛应用于用户输入的数据,如表单提交数据数据库查询结果等,以确保输出的内容安全无害。同时,如果你需要将HTML实体转回其原始字符,可以使用 `htmlspecialchars_...
mysql htmlspecialchars,使用htmlspecialchars()进行输入/输出的HTML清理,对于MySQL数据库的坏设计?...
weixin_42356162的博客
02-07 126
Is using htmlspecialchars() for input/output HTML sanitization, for MySQL database bad design?Should you instead just not allow these "dangerous" signs because it still will show b-tags,i-tags and oth...
PHP htmlspecialchars()的用法
小小黑
11-21 1660
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。这个函数的效果其实在浏览器中打开页面是看不到的,要查看源代码才能看到。& (和号) 成为 & ” (双引号) 成为 " ’ (单引号) 成为 ' < (小于) 成为 < > (大于) 成为 > htmlspecialchars(string,quotestyle,character-set) quotestyle:
【表单】表单数据提交处理
bandaoyu的note
07-05 3612
1、什么是表单 (转自:https://blog.csdn.net/ixygj197875/article/details/79904298) HTML 表单的主要作用是接收用户的输入,当用户提交表单时,浏览器将用户在表单中输入的数据打包,并发送给服务器,从而实现用户与Web服务器的交互。 表单是控件的容器,一个表单由form元素、表单控件和表单按钮三部分...
PHP htmlspecialchars() 的反函数 html_entity_decode()
04-13 1851
PHP htmlspecialchars() 的反函数 html_entity_decode()
PHP htmlspecialchars() 函数把预定义的字符转换为 HTML 实体
CBDLL的博客
12-14 1363
htmlspecialchars() 定义:把预定义的字符转换为 HTML 实体 语法:htmlspecialchars(string,flags,character-set,double_encode); 实例: &amp;amp;lt;?php $str = &amp;quot;aa &amp;amp;amp; 'bb'&amp;quot;; echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号 ech
PHP数据提交与过滤实操指南:保护 against SQL注入与XSS攻击
- **显示操作**:对于用户提交的文本,使用`htmlspecialchars()`转义特殊字符,并可能用`nl2br()`换行处理,便于呈现。 4. **通用函数过滤**: - 对于文件操作函数如`include()`, `unlink()`, 和 `fopen()`等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值