PHP函数strip_tags的一个bug浅析

最新推荐文章于 2022-12-14 14:28:23 发布
最新推荐文章于 2022-12-14 14:28:23 发布
阅读量333 收藏
点赞数
分类专栏: php 文章标签: php
原文链接:https://www.jb51.net/article/50320.htm
版权

PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能,该函数尝试返回给定的字符串 str
去除空字符、HTML 和 PHP 标记后的结果。

PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能,该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。

由于 strip_tags() 无法实际验证 HTML,不完整或者破损标签将导致更多的数据被删除。

比如下述代码:

<div>string</div>string<string<b>hello</b><div>string</div>

通过 strip_tags($str, ‘

’) 过滤,我们可能期望得到如下结果: 

<div>string</div>string<stringhello<div>string</div>

而实际操作结果是这样的:

<div>string</div>string

这一切都是因为加红的那个左尖括号,查了 PHP 的文档,有一个警告提示:
由于 strip_tags() 无法实际验证 HTML,不完整或者破损标签将导致更多的数据被删除。
既然在执行过滤前无法验证代码正确性,遇到和标签相关的字符 “<” 或 “>” 后面的代码就全挂了!

Mr_Eiffel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解PHP函数 strip_tags 处理字符串缺陷bug
12-20
详解PHP函数 strip_tags 处理字符串缺陷bug PHP 函数 strip_tags() 是一个常用函数,该函数可以剥去字符串中的 HTML、XML 以及 PHP 的标签。极大方便了对字符串的操作,但是 strip_tags() 函数存在缺陷bug,由于 strip_tags() 无法验证 HTML 不完整或者破损标签将导致更多的数据被删除。 例子: $str = '<div>string</div>string<string>hello</b><div>string</div>'; echo strip_tags($str, '<div>'); 输出: <div>s
php strip tags,PHP 函数 strip_tags一个严重 bug
weixin_34489345的博客
03-11 140
’) 过滤,我们可能期望得到如下结果:stringstringstring而实际操作结果是这样的:stringstring这一切都是因为加红的那个左尖括号,查了 PHP 的文档,有一个警告提示:由于 strip_tags() 无法实际验证 HTML,不完整或者破损标签将导致更多的数据被删除。既然在执行过滤前无法验证代码正确性,遇到和标签相关的字符 “” 后面的代码就全挂了!2013.01.11 更...
php strip_tags bug,PHP函数strip_tags一个bug浅析
weixin_35417122的博客
03-21 151
PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能,该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能,该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。由于 strip_tags() 无法实际验证 H...
php strip_tags bug,详解PHP函数 strip_tags 处理字符串缺陷bug
weixin_42423852的博客
03-21 452
详解PHP函数 strip_tags 处理字符串缺陷bugPHP 函数 strip_tags() 是一个常用函数,该函数可以剥去字符串中的 HTML、XML 以及 PHP 的标签。极大方便了对字符串的操作,但是 strip_tags() 函数存在缺陷bug,由于 strip_tags() 无法验证 HTML 不完整或者破损标签将导致更多的数据被删除。例子:$str = 'stringstringh...
php字符串过滤strip_tags()函数用法实例分析
10-16
主要介绍了php字符串过滤strip_tags()函数用法,结合实例形式分析了php字符串过滤函数strip_tags()功能、参数及相关使用技巧,需要的朋友可以参考下
邪恶的strip_tags()函数
cnbird's blog
07-26 1903
 爆人品的一次.下了个loudblog最新版看看,好像是0.8inc/buildwebsite.php里://template required by URL? Override template-settingif (isset($_GET[template])) {    $requested_template = killevilcharacters(strip_tags($_GET[
php绕过漏洞的函数,CVE-2004-0595 PHP strip_tags()函数绕过漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_42505252的博客
04-06 354
|参考资料resource:hyperlink:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000847resource:hyperlink:http://lists.grok.org.uk/pipermail/full-disclosure/2004-July/023909.htmlresource:hyperlin...
php strip_tags 少,详解PHP函数 strip_tags的用法不足之处
weixin_42576186的博客
03-18 116
这篇文章主要介绍了详解PHP函数 strip_tags 处理字符串缺陷bug的相关资料,需要的朋友可以参考下详解PHP函数 strip_tags 处理字符串缺陷bugPHP 函数 strip_tags() 是一个常用函数,该函数可以剥去字符串中的 HTML、XML 以及 PHP 的标签。极大方便了对字符串的操作,但是 strip_tags() 函数存在缺陷bug,由于 strip_tags() 无...
php函数细节_php strip_tags()函数使用注意细节
weixin_28918553的博客
03-09 489
php strip_tags()函数是去除字符串中的 HTML、XML 以及PHP的标签,返回去除标签之后的字符串,大家可以参考上一篇文章《PHP去掉HTML标签strip_tags()函数详解》,但在使用strip_tags()函数时,有几个细节要注意一下strip_tags过滤后,内容丢失使用php strip_tags()函数的时候,如果HTML标签不完整或者破损,将会导致更多的数据被删除,...
php strip_tags函数大于号小于号遇到的坑!
qq_20309291的博客
12-14 294
php strip_tags函数大于号小于号遇到的坑!
php strip tags不生效,详解PHP函数strip_tags的用法不足之处
weixin_42365539的博客
04-04 508
这篇文章主要介绍了详解PHP函数 strip_tags 处理字符串缺陷bug的相关资料,需要的朋友可以参考下详解PHP函数 strip_tags 处理字符串缺陷bugPHP 函数 strip_tags() 是一个常用函数,该函数可以剥去字符串中的 HTML、XML 以及 PHP 的标签。极大方便了对字符串的操作,但是 strip_tags() 函数存在缺陷bug,由于 strip_tags() 无...
TP5 使用strip_tags过滤html标签不起作用的解决方法
lauwen
01-17 4061
在ThinkPHP5中使用strip_tags过滤html标签不起作用的解决办法 在文章保存过程中需要获取前端由Uediter编辑器编辑的html内容中的文本,基本思路是使用PHP自带函数strip_tags()直接过滤 于是直接编辑如下:  $data = $this-&gt;request-&gt;param(); $data['post']['content'] = strip_...
php删除空标签_PHP_php使用strip_tags()去除html标签仍有空白的解决方法,本文实例讲述了php使用strip_tags - phpStudy...
weixin_31994237的博客
03-08 152
php使用strip_tags()去除html标签仍有空白的解决方法本文实例讲述了php使用strip_tags()去除html标签仍有空白的解决方法。分享给大家供大家参考,具体如下:$subject = strip_tags($newsRs['content']);//去除html标签$pattern = '/\s/';//去除空白$content = preg_replace($pattern...
php strip_tags 少,详解PHP函数 strip_tags 处理字符串缺陷bug
weixin_31111259的博客
03-18 169
详解PHP函数 strip_tags 处理字符串缺陷bugPHP 函数 strip_tags() 是一个常用函数,该函数可以剥去字符串中的 HTML、XML 以及 PHP 的标签。极大方便了对字符串的操作,但是 strip_tags() 函数存在缺陷bug,由于 strip_tags() 无法验证 HTML 不完整或者破损标签将导致更多的数据被删除。例子:$str = "stringstringh...
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8407
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
jQuery框架漏洞全总结及开发建议
热门推荐
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
strip_tags()函数漏洞
最新发布
07-27
strip_tags()函数是一种在PHP编程中常用的函数,用于过滤字符串中的HTML标签,以防止跨站脚本攻击(XSS)等安全漏洞。然而,strip_tags()函数本身存在某些漏洞,可能导致安全问题。 首先,strip_tags()函数在处理标签时是基于简单的文本替换算法,这种替换方式容易被攻击者绕过,通过使用各种编码和绕过技巧,他们可以成功地注入恶意标签和脚本代码。例如,攻击者可以使用特殊字符来替代标签中的字符,以避免被strip_tags()函数识别和过滤。 其次,strip_tags()函数只能过滤HTML标签,但无法过滤其他类型的标记语言(如XML、SVG等)或属性。因此,如果输入字符串中含有其他类型的标记语言或属性,则无法通过strip_tags()函数进行过滤,从而产生安全漏洞。 此外,strip_tags()函数还存在一些边界情况下的漏洞。例如,当标签的属性名称包含特殊字符或编码时,strip_tags()函数可能无法正确识别和过滤这些标签,从而导致安全问题。 为避免这些漏洞,开发者应该使用更安全可靠的方法来过滤和处理用户输入数据。建议使用更为专业的HTML过滤器或转义函数,例如htmlspecialchars()函数,可以将特殊字符转义成HTML实体,从而防止XSS攻击。此外,还应该使用白名单过滤策略,只允许必要的标签和属性通过过滤,其他的标签和属性均被严格禁止。 总之,strip_tags()函数在过滤HTML标签时存在一些漏洞,容易被攻击者绕过,并无法过滤其他类型的标记语言或属性。开发者应该采取更为安全可靠的方法来过滤和处理用户输入数据,以保护应用程序免受XSS等安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值