XSS之htmlspecialchars

最新推荐文章于 2024-04-29 17:01:02 发布
最新推荐文章于 2024-04-29 17:01:02 发布
阅读量2.4k 收藏 7
点赞数 4
分类专栏: owasp top10 漏洞 文章标签: html5 javascript 服务器 前端 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53568983/article/details/127184182
版权

1.htmlspecialchars的用法

1.1说明
htmlspecialchars(
    string $string,
    int $flags = ENT_COMPAT | ENT_HTML401,
    string $encoding = ini_get("default_charset"),
    bool $double_encode = true
): string

1.string:
待转换的 string。

2. flag:
位掩码,由以下某个或多个标记组成,设置转义处理细节、无效单元序列、文档类型。 默认是 ENT_COMPAT | ENT_HTML401。
在这里插入图片描述
3. encoding:
本函数使用效果上,如果 string 对以下字符编码是有效的, ISO-8859-1、 ISO-8859-15、 UTF-8、 cp866、 cp1251、 cp1252、 KOI8-R 将具有相同的效果。 也就是说,在这些编码里, 受 htmlspecialchars() 影响的字符会占据相同的位置。

支持以下字符集:
在这里插入图片描述

注意:其他字符集没有认可。将会使用默认编码并抛出异常。

4. double_encode:

关闭 double_encode 时,PHP 不会转换现有的 HTML 实体, 默认是全部转换。

2.用法

总的来说,就是把字符串转换成一串编码,类似于JS编码转换和url编码转换
如下所示:

<?php
$str = '<>a sdd\'"';
echo htmlspecialchars($str, ENT_QUOTES) . PHP_EOL;
echo htmlentities($str);

上面这串代码会把字符串<>a sdd\'"转换成&lt;&gt;a sdd&#039;&quot; &lt;&gt;a sdd'&quot;;

2.htmlspecialchars和XSS漏洞的关联
<?php
$str = '<>a sdd\'"';
echo htmlspecialchars($str, ENT_QUOTES) . PHP_EOL;
echo htmlentities($str);

运行如上这串代码,你就会发现htmlspecialchars的用法:

  • 如下1:(这是编辑器的输出结果)
    在这里插入图片描述
  • 如下2: (这是浏览器的输出结果)

在这里插入图片描述

浏览器和编辑器的运行结果不一样,原因是这样的,为了避免XSS漏洞的注入,可以把要输出的字符串先进行相应的编码,这样就不会运行脚本语句,但是浏览器又会将相应的编码进行转换,使用我们看到的和原来输出的一模一样。

3.如何绕过htmlspecialchars进行注入了

俗话说的好,不了解攻击如何进行防御了,对吧,所以我们马上进入实战

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</script>
</head>
<body>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

可以把如上代码运行进行XSS注入实验,如上实验是比较困难的一种,所以我们先进行如下比较简单的一种,再来学习上面的一种,代码如下:

<?php 
	$name = $_GET["name"];
	$name_new = htmlspecialchars($name);
?>
<form action="" method="get">
<input type='text' value='<?php echo $name_new?>' name="name">
<button>提交</button>
</form>

由于,输出在标签里面,所以不用担心><号的过滤问题,又htmlspecialchars($name)没有设置任何参数,所以是不过滤单引号的,所以使用如下语句:
' onmouseover='javascript:alert(1):前面的一个单引号让 value='形成闭合,然后再输出 onmouseover='javascript:alert(1)'我们构造语句一定要正确,否则不执行CSS

接下来讨论比较难的,如果我们只看htmlspecialchars($str),这个题我们一辈子都做不出来,因为,只要我们输入脚本,就会被转义,下面还有一个突破点:
$str,输入"><script>alert(1)</script>进行了

安全天天学
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php htmlspecialchars加强版
10-29
加强版htmlspecialchars
整理php防注入和XSS攻击通用过滤
12-19
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则表达式 4. strip_tags、htmlspecialchars 这类函数很好用
你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
cul1n的博客
02-10 1302
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。
php shtmlspecialchars 函数 详解
wolinxuebin的专栏
07-23 4643
作者:林子木  wolinxuebin 转载请保留:http://blog.csdn.net/wolinxuebin     由于还是码农新人,所以还未开始正式的编写大的工程代码,所以老员工给了我一个去年写的大的PHP工程的工程代码,先看下。抱着必须扫清每个死角的心里,下午碰到了 shtmlspecialchars()函数,网上一查挺多人都在用的,但不是PHP自带的,而是莫比较官方的写的
PHP中str_split()函数的用法讲解
菜鸟教程
04-08 1151
更多python、PHP、JAVA教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com表格制作excel教程 http://www.tsgmyy.cn 学习通 http://www.hssi.net/ PHP str_split() 函数 实例 把字符串 "Hello"
php htmlspecialchars()
仗剑天涯,从摘要开始
02-15 699
### htmlspecialchars()函数定义及用法 在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志; 被转换的预定义的字符有: &:转换为&amp;"...
htmlspecialchars详解
天天学安全专属博客
03-23 5853
1.首先看下面的代码 <?php $str = "This is <br> text"; echo htmlspecialchars($str); ?> 你运行一下会发现显示完全正确,显示为: This is <br> text 你查看源代码会发现: This is &lt;br&gt; text htmlspecialchars()的作用就是显示完全正确,但是源码改变,具体改变规则如下: '&amp
htmlspecialchars()
dissmmp的博客
04-03 1427
当你编辑文本的时候会自然而然的用到html标签,而有的时候,我们不希望html标签被浏览器识别,所以我们就用到了这个函数。我们可以利用这个函数把html标签转化为浏览器不能识别的字符,或者可以这么理解,利用这个函数转化以后,html标签就可以在浏览器原样输出了。htmlspecialchars()函数,具有三个参数,第一个参数为必选参数,表示待处理的字符串,第二个参数为可选参数,专门针对字符串中的...
PHP字符串函数htmlspecialchars( 把特殊字符转换为HTML实体)
ztnhnr的专栏
07-12 1464
PHP中,字符串函数 htmlspecialchars() 用于把一些预定义的字符转换为 HTML 实体。 函数语法: htmlspecialchars(string$string[,int$flags=ENT_COMPAT|ENT_HTML401[,string$encoding=ini_get("default_charset")[,bool$double_encode=TRUE]]]):string 函数参数说明: 参数 ...
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4435
xss绕过和htmlspecialchars函数绕过
3-11xsshtmlspecialchars绕过演示
山兔的博客
04-29 1494
我们这篇文章,说一下php里面用的比较多的一个方法,那就是htmlspecialchars()函数 xss关键防范措施其中一个关键的地方,就是我们在输出的时候,要做前端实体的转义 XSS绕过-关于htmlspecialchars()函数 htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是:  & (和号)成为 &amp  " (双引号)成为 &quot  ' (单引号)成为 &#039  < (小于)成为 &
劣质的PHP代码简化
01-20
复制代码 代码如下:<? echo(“<p>search results for query:”). $_GET[‘query’].”.”; ?> 这段代码的主要问题在于它把用户提交的...XSS漏洞用htmlspecialchars函数填补了,从而屏蔽了非法字符。 复制代码 代
nodejs-social-media
05-01
文件: : 该编辑器的输出为HTML格式,因此,如果使用Cross SiteScript(xss),则前端必须调用htmlspecialchars_decode()(对于PHP开发人员)或使用以下库:“ “(适用于js开发人员),然后发布到数据库。...
基于PHP实现的网上留言管理系统的设计(源代码+论文)
04-20
设计一个留言板的基本步骤如下: 创建数据库表:在数据库中创建一个表来存储留言。...使用HTML实体转义:在显示留言内容时,你应该使用PHPhtmlspecialchars函数将HTML标记转义为HTML实体。这样可以防止XSS攻击。
vue3 html5-qrcode 实现扫描二维码 仿照wx扫码样式
m0_38082271的博客
04-26 381
vue3 html5-qrcode 实现扫描二维码 仿照wx扫码样式
vue快速入门(四十六)Router的安装与使用
不起眼小菜菜的博客
04-26 616
步骤很详细,直接上教程……
vue2---修饰符
weixin_45503872的博客
04-24 1059
此时有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此时如果按住ctrl和其他键,然后再点击鼠标,此时也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此时People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
Redux 状态持久化之 redux-persist 使用示例
笔记、经验、日常分享
04-24 357
同vuex一样,redux中的状态会在刷新浏览器后状态又恢复到初始状态,有些数据想在浏览器刷新后仍然是在最新的状态,不会丢失,就需要借助一些插件实现。本文通过 redux-persist 插件来实现Redux状态的持久化。
用Typescript写自动化工作流
最新发布
联蔚盘云的博客
04-29 705
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新中,后续也会支持更多的预设,web ui 的操作方式也在计划中小伙伴想参与预设的开发也欢迎 pr 呀。
tp6怎样修复XSS漏洞
08-09
引用提到了一种简单的处理方式,即过滤处理请求参数,比如替换掉一些具有潜在危害的标签。引用提到了使用HTMLPurifier来防范XSS攻击的方法,可以设置允许使用的HTML标签和CSS样式属性,并生成过滤用的对象进行过滤。引用则描述了恶意攻击行为中恶意用户在接口参数上填写XSS代码的情况。 对于TP6来修复XSS漏洞,可以考虑以下几个方法: 1. 对请求参数进行过滤处理,替换掉具有潜在危害的标签。可以使用相关函数进行处理,比如htmlspecialchars函数来转义特殊字符。 2. 引入第三方库进行XSS过滤。可以像引用中提到的使用HTMLPurifier来过滤请求参数,设置允许使用的HTML标签和CSS样式属性,以及其他相关配置。 3. 对于开放的接口参数,进行严格的输入验证和过滤。比如对于用户输入的数据,进行合法性检查,以及对敏感字符进行过滤处理。 4. 更新和升级框架版本。及时关注框架的安全更新和补丁,以修复已知的XSS漏洞。 需要注意的是,以上方法只是一些常见的修复措施,具体的修复方法还需要根据实际情况进行评估和选择,以确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全天天学

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值