PHP代码审计-部分函数_2.0

于 2020-09-14 11:10:58 发布
阅读量158 收藏
点赞数
分类专栏: PHP代码审计之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44902875/article/details/108573836
版权

过滤XSS的函数:

htmlspecialchars()

简单写个XSS
在这里插入图片描述
效果
在这里插入图片描述
加上函数之后是这样的结果
在这里插入图片描述
原因是进行了HTML字符实体转码
在这里插入图片描述

绕过

如果有url两次解码情况,可以使用双重编码绕过

%253cscript%253ealert(document.cookie)%253c/script%253e

在这里插入图片描述
对’ " \的转义

addslashes()

对于sql注入的,就想到宽字节注入
在这里插入图片描述
如果是XSS的

<input onfocus=alert(/xss/) autofocus>

在这里插入图片描述

佛性死磕
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值