htmlspecialchars() 函数过滤XSS的问题

最新推荐文章于 2024-10-03 15:57:42 发布
最新推荐文章于 2024-10-03 15:57:42 发布
阅读量1.2w 收藏 9
点赞数 1
分类专栏: XSS跨站 文章标签: htmlspecialchars XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qlxmy/article/details/60467022
版权

        htmlspecialchars()函数的功能如下:

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ' (单引号)成为 '
  • < (小于)成为 <
  • > (大于)成为 >

它的语法如下: 
htmlspecialchars(string,flags,character-set,double_encode)

    其中第二个参数flags需要重要注意,很多开发者就是因为没有注意到这个参数导致使用htmlspecialchars()函数过滤XSS时被绕过。因为flags参数对于引号的编码如下:

可用的引号类型:

  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。
默认是只编码双引号的!默认只编码双引号!默认只编码双引号……重要的事情说三遍!!!

        于是看下面的代码: 
<?php 
	$name = $_GET["name"];
	$name = htmlspecialchars($name);
?>

<input type='text' value='<?php echo $name?>'>
        轻松绕过:



    加上ENT_QUOTES参数: 
<?php 
	$name = $_GET["name"];
	$name = htmlspecialchars($name, ENT_QUOTES);
?>

<input type='text' value='<?php echo $name?>'>
        发现无法绕过了:
查看源代码:


单引号已经被转换了。
qlxmy
关注
专栏目录
XSS盲打演示和讲解;XSS绕过思路讲解和案例演示;XSS绕过关于htmlspecialchars()函数XSS常见防范措施
qq_44696653的博客
05-04 936
XSS盲打演示和讲解 当只有后台会看到前端输入的内容而前端无法判断是否存在XSS时,我们可以插入XSS代码。这个时候由于后端的安全考虑往往不会很严格,所以当管理员登陆的时候就会被X。 在pikachu上具体的实验演示; 1.在XSS盲打模块根据前端的提示输入相关信息,发现输入的信息只会反馈给后台,在前端无法显示。这里就可以不管别的直接输入跨站脚本的内容 例如:<script>alert...
php 去除XSS脚本攻击函数
乐杨俊浅谈LAMP
07-11 2296
<?php /** * @去除XSS(跨站脚本攻击)的函数 * @par $val 字符串参数,可能包含恶意的脚本代码如<script language="javascript">alert("hello world");</script> * @return 处理后的字符串 **/ function remove_XSS($val) { ...
你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
cul1n的博客
02-10 2465
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。
XSShtmlspecialchars
天天学安全专属博客
10-06 2722
XSShtmlspecialchars,详细讲解htmlspecialchars
【CTF Web】Pikachu xsshtmlspecialchars Writeup(GET请求+反射型XSS+htmlspecialchars绕过)
最新发布
HEX9CF的技术博客
10-03 1248
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
XSS 绕过常用语句
Mr.Huang_的博客
09-16 3180
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS跨站脚本攻击之——html special chars()函数
温柔小薛的博客
04-05 935
XSS绕过之html special chars()函数 功能 htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &amp " (双引号)成为 &quot ’ (单引号)成为&#039 < (小于)成为 &lt >(大于)成为 &gt 语法 该函数的语法:ht...
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4980
xss绕过和htmlspecialchars函数绕过
php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法分析
10-16
在处理用户输入、存储和显示数据时,合理使用这两个函数能够确保数据安全并避免因字符转义问题引发的页面显示异常。同时,了解并使用合适的字符集(如`$encoding`参数)也非常重要,以确保正确处理多语言或特定编码...
存储型XSS漏洞已经被注入恶意代码,可以怎样处理已有问题,并预防后续注入? A.在接收用户输入内容时,使用htmlspecialchars0函数过滤,在输出内容时,使用stripslashes0函数过滤 B.在数据库中找到对应的恶意代码并清除,输入时使用htmlspecialcharst0函数过滤 C.在接收用户输入内容时,使用htmlspecialchars(0函数过滤 D.在数据库中找到对应的恶意代码并清除,输出时使用htmlspecialchars(函数过滤
06-02
在数据库中找到对应的恶意代码并清除,输出时使用htmlspecialchars()函数过滤。 存储型XSS漏洞是指攻击者将恶意代码提交到目标网站的数据库中,当用户访问网站时,网站从数据库中读取数据并显示在页面中,恶意代码...
php过滤输入操作之htmlentities与htmlspecialchars用法分析
10-20
在使用htmlentities或htmlspecialchars函数时,可以通过指定额外的标志位来增强函数过滤能力。例如,可以使用ENT_QUOTES标志位,它会同时转义双引号和单引号。这是因为某些情况下,如在HTML属性值中,双引号也需要...
xss绕过字符过滤_XSS过滤的绕过
weixin_39732249的博客
12-21 142
XSS过滤的绕过脚本标签如果script被过滤的话,可以使用伪协议的方法:通过HTML编码绕过过滤(也可以使用十进制r,十六进制Ĕ)使用HTML编码,在进一步处理属性值的时候,浏览器会对其进行HTML解码:如果存在两次URL解码可以通过构造:%253cimg%20onerror=alert(1)%20src=a%253e第一次URL解码以后:%3cimg onerror=alert(1) src=...
XSS漏洞---关于htmlspecialchars()函数
Ethan024的博客
03-14 721
XSS漏洞(本文仅供技术学习与分享) 关于htmlspecialchars()函数 htmlspecialchars()函数把预定义的字符转换成HTML实体,这些字符包括: 但是默认方法类型不对单引号进行过滤,比如: 可用的引号类型: ENT_COMPAT — 默认。进编码双引号 ENT_QUOTES — 编码双引号和单引号 ENT_NOQUOTES — 不编码任何引号 实验准备 皮卡丘平台,xsshtmlspecialchars 实验步骤: 输入危险字符串,并查看后台源码。发现双引号和尖括号被
htmlspecialchars() 函数的用法及过滤XSS问题
滴水石穿
08-31 6142
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
热门推荐
qq_14989227的博客
07-26 1万+
作者:梧桐雨 链接:https://www.zhihu.com/question/27646993/answer/42865322 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name =
pikachu靶场第十二关——XSS(跨站脚本)之xsshtmlspecialchars(附代码审计)
yzasts的博客
03-22 1545
有些字符,像(<)这类的,对HTML(标准通用标记语言下的一个应用)来说是有特殊意义的,所以这些字符是不允许在文本中使用的。注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。布尔值,规定了是否编码已存在的 HTML 实体。一个规定了要使用的字符集的字符串。
XSS漏洞定位和修复方法——htmlspecialchars() 函数
12-01 2251
安全测试】XSS漏洞定位和修复方法——htmlspecialchars() 函数 上一篇 / 下一篇  2011-08-25 18:49:11 / 个人分类:安全测试 测试的XXX的版本中,扫描器扫描出一个中威胁的XSS漏洞,对BUG定位和解决消耗了一定的时间,在咨询过安全测试组的同学后,终于弄清楚了解决的方法,现在根据结果倒推回来,有利于指导测试和帮助开同学定位类似的问题,所
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值