大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。
如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。
如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击
举个例子:假设后台和前台都没有对需要添加的博客的信息进行处理就添加成功了,此时添加了一张图片地址指向的是危险连接。
当用户又把信息读取出来的时候就执行了危险的页面http://www.baidu.com 获取通过人家的网址传播 不良信息 或者盗取当前网站的数据。
防止xss漏洞的方法:
if (isset($_POST['name'])){
$str = trim($_POST['name']); //清理空格
$str = strip_tags($str); //过滤html标签
$str = htmlspecialchars($str); //将字符内容转化为html实体
$str = addslashes($str); //特殊符号转义
echo $str;
}