如何原封不动的保存并安全回显输入内容

最新推荐文章于 2024-04-16 17:01:38 发布
最新推荐文章于 2024-04-16 17:01:38 发布
阅读量1.3k 收藏
点赞数
分类专栏: Web Develop 文章标签: 数据库 html web开发 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/barfoo/article/details/4210011
版权

    在web开发中,经常需要原封不动的保存用户输入,并安全的回显到页面中。对于一般的字符串,比如abc、123之类的输入,直接回显到web页面中并没有什么不妥。但对于<javascript>alert(0);</javascript>这种输入而言,就必须进行必要的转码再输出到web页面中,否则就会出现著名的XSS攻击了。

   为了安全的回显,我们需要把 ‘  "  <  & > 这5个符号进行html编码。只要解决了这5个字符的编码,就可以避免XSS攻击了。

    1: 对用户直接输入的内容必须经过html编码之后再进行web回显。

    2: 对保存到数据库中的内容应为用户输入的原始数据

    3: 对数据库中读取的原始数据需要进行html编码之后再进行web回显。

    4: 尽量不要在数据库中保留进过编码之后的数据(特殊情况例外,比如在苛刻的性能要求下)

barfoo
关注
专栏目录
【漏洞篇】网络安全面试
大河之犬的博客
04-08 5519
例如我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也不影响,从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉,可以让我们修改某些关键变量的值,可能造成越权访问、写入webshell等危害。
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 1178
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
#47 将输入字符串原封不动输出
桃之妖妖,濯濯其华
11-24 1480
题目描述: 接收输入的一个字符串(无空格、制表符等), 原封不动输出该字符串,最后必须输出回车。 最长输入20个有效字符(不包括回车)。 例如输入:apple 输出:apple 输入:test2test* 输出:test2test* 参考代码: #include<stdio.h> int main() { char s[24]; gets(s); puts(s); return 0; } 讲解: 这是什么水题鸭? 求实求真,大气大为。 ...
使用el-input文本框实现文本html格式的保存,并回显编辑,显示详情等
最新发布
yolo3712的博客
04-16 1253
使用el-input文本框实现文本html格式的保存,并回显编辑,显示详情等
登陆界面的数据保存回显的操作
CSDN流星追月专属频道--吃的苦中苦,方为人上人!
05-29 1512
package com.example.day02_file; import java.util.Map; import com.example.lession02_file.service.FileService; import android.app.Activity; import android.os.Bundle; import android.text.TextUtils; im
设置控制上次选中的回显(多个)
weixin_45535370的博客
10-13 133
项目场景: 考试系统中为考试试卷设置考试题目,下次进来设置时显示上次选中的试题 问题描述: 数据传输问题,后台需要传给前端查询到所有试题id的list,传list不方便获取,就用了LinkedHashMap //获取当前试卷选中的试题id List <String> questionIds = questionCreateService.getAllQuestions(id); Map<Integer, String&g...
用C语言打印一个内容
m0_75163409的博客
05-07 1923
1.直接打印2.打印变量。
pikachu靶场练习通关加知识点总结
qq_45584159的博客
12-11 7859
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
python echo
09-15
当用户在命令行窗口中输入内容后,Python Echo 脚本会读取输入内容,并将其原封不动地打印出来。 使用 Python Echo 非常简单,只需要在命令行中运行脚本文件即可。在运行脚本后,用户会看到一个提示符,表示可以...
TCP/IP协议用户层详解
weixin_59371851的博客
10-21 1430
Content-Type: 数据类型(text/html等)Content-Length: Body的长度Host: 客户端告知服务器, 所请求的资源是在哪个主机的哪个端口上;User-Agent: 声明用户的操作系统和浏览器版本信息;referer: 当前页面是从哪个页面跳转过来的;Connection:表示支不支持长链接location: 搭配3xx状态码使用, 告诉客户端接下来要去哪里访问;Cookie: 用于在客户端存储少量信息。通常用于实现会话(session)的功能。
python输入输出
奔跑的QQEE的笔记
09-14 349
本文译自https://docs.python.org/2.7/tutorial/。完全是出于个人兴趣翻译的,请勿追究责任。另外,谢绝商业牟利。刊印请与本人和原作者联系,无授权不得刊印,违者必究其责任。如需转发,请注明来源,并保留此行,尊重本人的劳动成果,谢谢。 来源:CSDN博客 作者:奔跑的QQEE python 版本:2.7.13 (本文有删改) pyt
【textarea内容不反显】textarea标签内容不反显?因为`<textarea>` 不支持 `value` 属性。
m0_45382009的博客
11-19 661
var textContent="输入的具体内容..." //内容反显: let htmlStr = `<textarea name="textarea" rows="5" cols="30" minlength="10" maxlength="20">${textContent}</textarea>` //内容获取 let newTextContent = $('textarea').val() 项目中实例: ...
vue.js 回显textarea入的空格和换行
lemon今天学习了吗?的博客
11-23 5644
一、场景:用户在表单或者textarea中输入的带空格和换行的内容提交后,在其他地方查看输入内容必须与输入内容保持一致。
啊哈C语言 第七章 【代码】【习题答案】
FangWenJing150的博客
09-14 1083
使用的开发工具是VS2019; 代码参考书籍为《啊哈C语言!逻辑的挑战》; 博文中包括文章和课后习题的答案并配有GIF图能更直观看到输出效果;
SecucreCRT会话无法保存解决方法及高亮配色方案配置
坏坏-5的博客
02-26 3994
修复SecucrtCRT会话无法保存及配置CRT高亮配色方案
字符串的输入输出处理
weixin_44856457的博客
07-21 536
题目描述 字符串的输入输出处理。 输入 第一行是一个正整数N,最大为100。之后是多行字符串(行数大于N), 每一行字符串可能含有空格,字符数不超过1000。 输出 先将输入中的前N行字符串(可能含有空格)原样输出,再将余下的字符串(不含有空格)以空格或回车分割依次按行输出。每行输出之间输出一个空行。 样例输入 2 www.dotcpp.com DOTCPP A C M D O T CPP 样例输出 www.dotcpp.com DOTCPP A C M D O T CPP 思路: 用gets可以存入空格,
C++中的cin.getline()和getline()的区别
转载和创作优秀的博客
02-11 262
cin.getline()是输入流对象的成员函数 getline()是string类的成员函数 先来看一下getline()的使用方法: #include<iostream> using namespace std; int main() { string str; getline(cin,str); cout << str; return 0; } 使用getline(),顾名思义就是读取一行,这一行中可以包括空格,我们来看下输入以及输出结果...
textarea文本域 通过Ajax 回显数据显示不全
李先生的博客
05-03 3351
 textarea文本域   通过Ajax  回显数据只显示两行数据&lt;div class="input-group"&gt; &lt;span class="input-group-addon"&gt;参与面试要求:&lt;/span&gt; &lt;div class="fg-line"&gt; &lt;textarea id="cymsyq&quo
el-cascader保存之后数据回显
06-07
4. 在页面中回显保存的数据,可以将selectedOptions绑定到另一个el-cascader组件中的v-model中: ``` <el-cascader v-model="selectedOptions" :options="options"></el-cascader> ``` 这样,当用户再次打开页面时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值