项目安全(三种攻击方式),批量操作html标签转义

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量360 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37171379/article/details/88367051
版权

三个安全问题:
恶意攻击
SQL注入
XSS攻击
(1).恶意攻击
请求:
get方式,通过url,dos攻击,通常是从硬件和网络的角度,防火墙。(程序员不用管)
post方式,通过表单提交,穷举法,恶意破解,灌水。从程序的角度来防止。可以使用验证码
在我们的项目中添加验证码。
(2).SQL注入攻击
在请求的时候,输入一些特殊的字符,然后构造可以执行的sql语句,达到攻击的目的。
Post请求
Get请求

A.POST请求—表单提交
以登录为例,

万能密码
在这里插入图片描述
输出对应的sql语句如下:
在这里插入图片描述
在这里插入图片描述
如何防范呢?
最简单的办法,就是对密码加密。md5加密
在这里插入图片描述
再次使用万能密码,结果如下:
在这里插入图片描述
这样一来,就可以防止住了。
密码加密的原因:
防止万能密码攻击
保护用户的隐私
正常登录,只能使用admin用户了。

B.万能用户名
在用户名的输入框中,输入特殊的字符:
在这里插入图片描述
对应的sql语句如下:
在这里插入图片描述
请问,如何防止?
用户名不要加密,此路不通。(后台看用户名会乱的)

问题的本质:
xxx’ or ‘1
xxx’ or 1#
关键是单引号,让单引号失效,可以将其转义,通常有两种:
在php的层面来转义,php提供addslashes()函数
在mysql的层面来转义,mysql扩展提供的mysql_real_escape_string()函数

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(’)
双引号(")
反斜杠(\)
NULL
提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。
此处,我用第一种。
在这里插入图片描述
对应的sql语句如下:
在这里插入图片描述
如此一来,就可以防止住了。

结论:千万不要相信用户的输入,对用户的输入一定要做验证和处理。

B.GET请求
看一个例子,localhost/shopcz/index.php?p=admin&c=category&a=delete&cat_id=7 or 1
请求,拼接的sql语句如下:
delete form cz_category where cat_id = 7 or 1;
后果很严重,全部删除了, 非常不安全。

所以,需要处理,如何处理?
需要将其转成整型?
强制转换,(int) 变量 ,使用intval()函数
隐式转化,让其参与运算,用 +
在这里插入图片描述
(3).XSS攻击
什么xss攻击
XSS:Cross Site Script,跨站脚本攻击。
恶意攻击者往Web页面里插入恶意html和JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的html和JavaScript代码会被执行,从而达到恶意攻击用户的特殊目的。
演示:
在分类显示时,输出分类描述在 是否显示导航栏 一栏中,如下:
在这里插入图片描述

在这里插入图片描述
再比如:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
再比如,输入html代码,如下:
在这里插入图片描述
结果如下:
在这里插入图片描述
再次说明:用户的输入是不可信的。

如何防范?
本质,都是html标签惹的祸。
措施:对html标签进行实体转义,在php中,有两个函数可以完成这个功能:
htmlspecialchars()函数
htmlentities()函数
在这里插入图片描述
在获取用户数据到时候,使用函数进行实体转义,如下:
在这里插入图片描述
这样就可以防止了。
看转义之后的结果:
在这里插入图片描述
转成实体了,
空格: 
版权:©
< : &lt; less than
>: $gt; greater than
在这里插入图片描述
最后解析成如下样子:
在这里插入图片描述
定义辅助函数完成批量转义
考虑一个新的问题,其实在有表单提交的时候,每个表单域,都需要做处理,如何实现,比较方便呢?
能不能实现批量操作呢?批量实体转义,批量单引号转义

需要自己定义方法实现之。
转义的目标,有多种形式:
单个变量
一维数组
多维数组,批量插入,$_FILES,checkbox

二维 —> 一维 —> 单个变量(利用递归)

<?php
//批量实体转义
function deepspecialchars($data){
	if (empty($data)) {
		return $data;
	}
	
	
	//第一种初级程序员的写法
	array('username'=>'zs','email'=>'zs@163.com')//举例
	if (is_array($data)) {
		//数组
		foreach ($data as $k => $v) {
			$data[$k] = deepspecialchars($v);
		}
		return $data;
	} else {
		//单个变量
		return htmlspecialchars($data);
	}
	//中高级程序员的写法
	return is_array($data) ? array_map('deepspecialchars',$data) : htmlspecialchars($data);
	}

array_map的用法
在这里插入图片描述
Demo如下:
在这里插入图片描述
就可以在控制器中,引入辅助函数,完成转义。
在这里插入图片描述

治荣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
批量打开多个网页小工具处理特殊字符
秋月的私语
06-16 170
,看后台下载有不少网友下载了,但是在最近的使用过程中,我发现一个问题,如果网址中包含特殊字符“&”,则网址无法正常打开,调试了一下发现,原来system命令无法直接处理带有&符号的网址,尝试将网址进行常规的网址转义,类似下方。但命令行仍然无法处理,最后经过苦心搜索,终于找到答案,在这里直接贴出代码,需要成品的可以直接在文章末尾下载。之前写过一个小工具,名字叫《
el表达式批量处理转义html,通过EL表达式,后台数据传到前台,引号及后面的数据被截断的问题:_html/css_WEB-ITnose...
weixin_36424234的博客
06-10 290
问题描述:通过EL表达式,后台数据传到前台,引号及后面的数据被截断的问题:如:前端页面:html:问题解决:1.一个简单的办法,把 input 写成这样:value 值用单引号试试2.更好的办法应该是做 HTML 转义,在数据传到前端前就要处理,用 java 里的相关函数:mav.addObject("data", toHtml(form.getData()));public static Str...
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 3970
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
XSS攻击详解
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击,XSS的重点不在于跨站,而在于脚本的攻击。 XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型和DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
XSS攻击具体主要是哪些方法?如何防止被攻击呢?
2301_76418831的博客
05-03 525
XSS(跨站脚本攻击)是一种常见的Web攻击,主要是利用网站未对用户输入的数据进行充分过滤,导致恶意脚本被插入到网站的HTML页面中,从而影响到其他用户。3.DOM-based XSS攻击攻击者利用了网站的前端脚本,例如JavaScript等,来修改页面的DOM结构,从而触发恶意脚本。4.对用户输入的数据进行转义:对用户输入的数据进行HTML Entity编码或JavaScript转义,可以防止恶意脚本的注入。为了防止XSS攻击,应该对用户输入的数据进行充分的过滤和验证。1.在表单输入框中输入恶意代码。
JS实现HTML标签转义及反转义
11-26
由于是纯前端操作,不涉及后端,因此需要通过js对输入内容进行转义。 这里提供一个非常简单有效的转义方案,利用了innerHTML和innerText 注:火狐不支持innerText,需要使用 textContent 属性,而IE早期版本不支持...
详解用Python处理HTML转义字符的5种方式
01-20
,> 用于标签中,& 用于转义),他们不能在 HTML 代码中直接使用,如果要在网页中显示这些符号,就需要使用 HTML转义字符串(Escape Sequence),例如 < 的转义字符是 <,浏览器渲染 HTML 页面时,会自动把...
解决Laravel blade模板转义html标签的问题
01-02
解决Laravel blade模板转义html标签的问题: 后台textarea提交到表里面的数据展现到前端页面时(在后台已使用nl2br()函数进行转换),直接显示如下: 很尴尬!!! 解决方法如下: {!! $res->content !!} 中间部分是需要...
什么是 XSS 攻击?XSS 攻击有哪几种类型?
SCUhzs
12-27 3741
作者:代码熬夜敲来源:SegmentFault 思否社区前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击有哪几种类型?常见的XSS攻击有三
网络安全初探-XSS攻击方式&&防御手段
LYFlied的博客
05-19 823
文章目录一、什么是 XSS二、XSS注入的方法三、XSS 攻击的分类1.反射型XSS2.存储型XSS3.DOM型XSS四、XSS 攻击的预防1.预防 DOM 型 XSS 攻击2.输入过滤3.拼接HTML时对其进行转义4.Content Security Policy5.其他安全措施 一、什么是 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Coo
XSS攻击三种方法
小赵同学的博客
01-06 2399
掌握跨站脚本的概念 理解跨站脚本的实例 什么是XSS? 跨站脚本 1、由于Web应用层序程序对用户的输入过滤不足产生的。 2、攻击者利用漏洞注入恶意JS代码到网页之中,当用户浏览网页时就会执行恶意代码。 3、主要可以对用户cookie资料窃取、会话劫持、钓鱼等。 攻击流程 解:攻击者向服务器发起XSS攻击注入JS代码,用户浏览被攻击的服务器发送浏览请求 服务器返回响应包含攻击者注入的代码 XSS的分类 XSS根据其特性和利用手法分为三大类: 1、反射性跨站脚本 2、存储性跨站脚本 3、DOM
html中如何批量操作,重复执行太枯燥?web批量操作有高招!
weixin_34808718的博客
06-20 2277
作为营销人员,你是否曾因为在网页上注册多个账号,并且大批量的群发营销邮件或推广消息而感到枯燥无聊?作为数据分析人员,你或许也经常为实施web采集和绕过访问验证的低效率而苦恼?的确,这些为我们的业务打下基础的工作,往往占用了我们大量的时间,看起来很简单的任务,却总是思维跟得上,操作跟不上。所以在确保操作准确的情况下,效率才是我们的至上追求。如何确保这些操作的准确性和高效性?火车浏览器带你Get快速批...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
前端安全之XSS攻击
weixin_34381666的博客
02-18 1134
XSS(cross-site scripting跨域脚本攻击攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
html页面标签转义解决
ilovefsf的博客
10-16 8333
var c= $('#cont_'+i).html();//获取内容     if(c!=null){     c=c.replace(/</g,"     c=c.replace(/ /g," ");     c=c.replace(/>/g,">");     $('#c_'+i).html(c);//重新显示     }
常见XSS攻击方法
商务合作 | 面试培训 | 职场规划 ==>主页扫码
03-20 5343
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。 二、XSS有什么危害? 当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。 关于XSS有...
Web安全之XSS攻防
Hei, Welcome To vickie's Blog,Good Good Study, Day Day Up ~
04-18 4万+
Web安全之XSS攻防 1. XSS的定义 2. XSS的原理 3. XSS攻击方式 4. XSS防御措施 5.一个简单的XSS攻击演示
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1001
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
js html代码转义,JS实现HTML标签转义及反转义
06-08
JS实现HTML标签转义: ```javascript function escapeHTML(htmlStr) { return htmlStr.replace(/[&<>"']/g, function(match) { switch (match) { case "&": return "&"; case " return "<"; case ">...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值