WeChall_PHP-htmlspecialchars

最新推荐文章于 2022-04-08 21:26:58 发布
最新推荐文章于 2022-04-08 21:26:58 发布
阅读量247 收藏 2
点赞数
分类专栏: CTF刷题 文章标签: WeChall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/102551011
版权

PHP -htmlspecialchars

题目:

在这里插入图片描述
在这里插入图片描述
中文大致翻译:
在这里插入图片描述
这个题目的意思并不是让你利用这个漏洞,而是让你修改htmlspecialchars函数的参数,从而达到防止XSS的目的

了解htmlspecialchars函数

网址: https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

主要的是里面的参数
ENT_COMPAT - 默认。仅编码双引号(就是只转义双引号,虽然转义了双引号,但还是容易受到单引号的XSS攻击)
ENT_QUOTES - 编码双引号和单引号(就是单引号、双引号全部转义,可以更好地防止XSS)
ENT_NOQUOTES - 不编码任何引号(不转义任何单双引号,不建议,因为容易受到XSS攻击)
注:
在这里插入图片描述
这一个提交栏,在我认为只是用来测试,并无它作用

Payload:

我们构造的Payload如下:
在这里插入图片描述
在这里插入图片描述
上图就是最后的Payload,考察了我们对htmlspecialchars函数的理解,最重要的是,我认为这一题不是要我们构造Payload进行渗透,而是要求我们改善php代码,达到更有效地防止XSS攻击。

1stPeak
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHPhtmlspecialchars、strip_tags、addslashes解释
weixin_34191845的博客
07-01 158
2019独角兽企业重金招聘Python工程师标准>>> ...
WeChall htmlspecialchars (Exploit, PHP, XSS)
滕青山博客
02-16 289
问题 由于htmlspecialchars默认不对单引号做转义,导致了xss漏洞。 比如可以在input box中输入'onmousemove='alert(1)后点击Exploit It,然后鼠标放在Click me的链接上,就会显示一个弹框。 注意:不要在新版浏览器测试,是没有效果的。 Solution:将有漏洞的代码修改一下,就是solution。 解决 添加参数ENT_QUOTES即可修复。 在solution编辑框中输入 echo "<a href='http://".ht
PHPhtmlspecialchars函数
mehunk的专栏
08-19 647
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号) 成为 & " (双引号) 成为 " ' (单引号) 成为 ' > (大于) 成为 >
php htmlspecialchars()
仗剑天涯,从摘要开始
02-15 717
### htmlspecialchars()函数定义及用法 在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志; 被转换的预定义的字符有: &:转换为&amp;"...
PHP htmlspecialchars() 函数
一直专注于互联网
04-27 202
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 &lt;?php $str = "This is some &lt;b&gt;bold&lt;/b&gt; text."; echo htmlspecialchars($str); ?&gt;   htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。预定义的字符是:&amp;...
php 去除html标记--strip_tags与htmlspecialchars的区别详解
10-27
本文将详细讲解`strip_tags`和`htmlspecialchars`这两个函数的区别,以及它们在实际应用中的作用。 首先,`strip_tags`函数的作用是去除HTMLPHP的标记。其基本语法为`string strip_tags(string str)`,它接收一个...
lab_php-main
03-14
11. **安全**:包括输入验证、SQL注入防御(预处理语句或参数绑定)、XSS攻击防护(htmlspecialchars() 函数),以及密码哈希(password_hash() 和 password_verify())等。 12. **会话管理**:PHP 内置的 `session...
sql-php-pierwsza_strona-DanielHarazim:GitHub课堂创建的sql-php-pierwsza_strona-DanielHarazim
03-20
9. **安全性**:除了预处理语句外,还应使用`mysqli_real_escape_string()`函数对用户输入进行转义,或者使用`htmlspecialchars()`函数防止跨站脚本攻击(XSS)。 10. **面向对象的PHP与SQL**:在现代PHP开发中,...
proyecto_final-php
03-14
8. **安全措施**:可能包括SQL注入防御(预编译语句、参数绑定)、XSS防护(htmlspecialchars、输出过滤)、CSRF保护(令牌验证)等。 9. **文件上传**:如果项目包含文件上传功能,需要了解如何安全地处理文件上传...
brief33_afrique-injection
03-30
例如,使用`htmlspecialchars()`函数防止XSS(跨站脚本)攻击,使用`mysqli_real_escape_string()`或`PDO::quote()`防止SQL注入。 4. **最小权限原则**:数据库连接应使用只具有执行所需操作权限的用户账号,避免因...
php htmlspecialchars()函数
Alex_Best
08-03 977
定义和用法htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。预定义的字符是:& (和号) 成为 &" (双引号) 成为 "' (单引号) 成为 ' (大于) 成为 >一般情况下,入库之前要用htmlspecialchars()函数 将预定义字符转换成html实体,避免有些脚本会直接运行!比如说: 在输入框内输入没有用htmlspecialchars()方法转换成html实体的话 入库之后 甚至点击提交 都会弹出 alert(1);所以,入库之前有必要考虑使用这个函数
PHP字符串函数htmlspecialchars( 把特殊字符转换为HTML实体)
ztnhnr的专栏
07-12 1552
PHP中,字符串函数 htmlspecialchars() 用于把一些预定义的字符转换为 HTML 实体。 函数语法: htmlspecialchars(string$string[,int$flags=ENT_COMPAT|ENT_HTML401[,string$encoding=ini_get("default_charset")[,bool$double_encode=TRUE]]]):string 函数参数说明: 参数 ...
PHP htmlspecialchars() 函数把预定义的字符转换为 HTML 实体
CBDLL的博客
12-14 1363
htmlspecialchars() 定义:把预定义的字符转换为 HTML 实体 语法:htmlspecialchars(string,flags,character-set,double_encode); 实例: &amp;amp;lt;?php $str = &amp;quot;aa &amp;amp;amp; 'bb'&amp;quot;; echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号 ech
152-PHP htmlspecialchars函数
weixin_30655219的博客
06-14 107
<?php //定义一个HTML代码字符串 $str=<<<HTM <a href=#><b><i>到一个网址的链接<></i></b></a> HTM; $str=htmlspecialchars($str); //将字符串中指定...
php htmlspecialchar,PHPhtmlspecialchars() 和htmlspecialchars_decode方法详解
weixin_32964881的博客
03-10 1645
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。预定义的字符是:& (和号)成为 &" (双引号)成为 "' (单引号)成为 '< (小于)成为 <> (大于)成为 >注意:这个函数不能对斜杠/,反斜杠\做处理。示例:$content = '你是/谁啊,大几\都"老梁"做做&>women没 alert("hel...
php学习笔记(九)htmlspecialchars
LUOXINJIE的专栏
11-20 432
在一个练习中,使用POST传递表单数据,
编程语言phphtmlspecialchars、strip_tags、addslashes函数的简单介绍
10-30 263
编程语言phphtmlspecialchars、strip_tags、addslashes函数的简单介绍 在网页程序开发中,htmlspecialchars、strip_tags、addslashes函数是最常见的,本篇文章将会分别来介绍这三个函数。 1.strip_tags()函数 strip_tags() 函数去除字符串中的 HTML、XML 以及 PHP 的标签。 示例 <?php $name="Hello <b>world!</b>"; $tags=s
PHP中str_split()函数的用法讲解
菜鸟教程
04-08 1163
更多python、PHP、JAVA教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com表格制作excel教程 http://www.tsgmyy.cn 学习通 http://www.hssi.net/ PHP str_split() 函数 实例 把字符串 "Hello"
php html实例代码,PHP htmlspecialchars() 函数实例代码及用法大全
weixin_42521032的博客
03-10 102
实例把预定义的字符 "" (大于)转换为 HTML 实体:$str = "This is some bold text.";echo htmlspecialchars($str);?>以上代码的 HTML 输出如下(查看源代码):This is some bold text.以上代码的浏览器输出:This is some bold text.运行实例定义和用法htmlspecialchars...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值