php htmlspecial 安全,PHP “htmlspecialchars()”缓冲区溢出漏洞

最新推荐文章于 2022-10-09 11:59:39 发布
最新推荐文章于 2022-10-09 11:59:39 发布
阅读量143 收藏
点赞数
文章标签: php htmlspecial 安全
这篇博客揭示了PHP在2012年的一个安全问题,具体是关于htmlspecialchars函数在特定条件下可能导致缓冲区溢出,从而允许攻击者执行任意代码或造成服务拒绝。测试方法和建议的补丁更新被提及,提醒用户关注PHP官方更新以保护系统安全。
摘要由CSDN通过智能技术生成

发布日期:2012-02-03

更新日期:2012-02-06

受影响系统:

PHP PHP

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 51860

PHP是一种在电脑上运行的脚本语言,主要用途是在于处理动态网页,包含了命令行运行接口或者产生图形用户界面程序。

PHP在带有$double=false的htmlspecialchars()函数的实现上存在缓冲区溢出漏洞,因为起始位置仅允许40个字节,攻击者可利用此漏洞在PHP进程中执行任意代码,使Web Server崩溃,拒绝服务合法用户。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

echo

htmlspecialchars('"""""""""""""""""""""""""""""""""""""""""""""',

ENT_QUOTES, 'UTF-8', false), "\n";

建议:

--------------------------------------------------------------------------------

厂商补丁:

PHP

---

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

0b1331709591d260c1c78e86d0c51c18.png

维林兄弟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法分析
10-16
PHP编程中,`htmlspecialchars()` 是一个非常关键的函数,用于将预定义的字符转换为HTML实体,以防止数据在HTML环境下产生意外的解析效果。这个函数的主要作用是确保输入到网页的内容不会被浏览器错误地解释为HTML...
PHP htmlspecialchars()函数用法与实例讲解
10-17
PHP中的htmlspecialchars()函数是一个非常实用的函数,主要用于将特殊字符转换成HTML实体。这在Web开发中非常重要,因为它可以帮助防止跨站脚本攻击(XSS),同时确保数据在浏览器中正确显示。 htmlspecialchars()...
php 缓冲区溢出,PHPhtmlspecialchars()”缓冲区溢出漏洞
weixin_33363265的博客
03-19 224
PHP quot;htmlspecialchars()quot;缓冲区溢出漏洞发布日期:2012-02-03更新日期:2012-02-06受影响系统:PHP PHP描述:--------------------------------------------------------------------------------BUGTRAQ ID: 51860PHP是一种在电脑上运行的脚本语言...
PHPhtmlspecialchars()”缓冲区溢出漏洞
12-01 1205
PHPhtmlspecialchars()”缓冲区溢出漏洞        发布日期:2012-02-03 更新日期:2012-02-06 受影响系统: PHP PHP 描述: -------------------------------------------------------------------------------- BUG
php htmlspecial 安全,php对输入的安全性处理函数trim、stripslashes、htmlspecialchars
weixin_31133021的博客
04-09 215
PHP 验证表单数据,通过 PHPhtmlspecialchars() 函数传递所有变量。在我们使用 htmlspecialchars() 函数后,如果用户试图在文本字段中提交以下内容:location.href('http://www.moneyslow.com')- 代码不会执行,因为会被保存为转义代码,就像这样:location.href('http://www.moneyslow.c...
php htmlspecialchars对空格的处理有bug
gkingzheng的专栏
05-14 9289
很多php开发的同学都用 htmlspecialchars 这个函数来将某些特殊字符转换为html 标签。比如 这些字符。方法非常好用。 但是碰到空格的时候,htmlspecialchars 并不是将 空格直接转换为    ,所以如果在特殊字符中有空格,htmlspecialchars 将保留空格的原样,并不修改。 这个就给开发痛苦了,因为空格在web页面上显示不出来,有些时候很多空
XSS漏洞---关于htmlspecialchars()函数
Ethan024的博客
03-14 700
XSS漏洞(本文仅供技术学习与分享) 关于htmlspecialchars()函数 htmlspecialchars()函数把预定义的字符转换成HTML实体,这些字符包括: 但是默认方法类型不对单引号进行过滤,比如: 可用的引号类型: ENT_COMPAT — 默认。进编码双引号 ENT_QUOTES — 编码双引号和单引号 ENT_NOQUOTES — 不编码任何引号 实验准备 皮卡丘平台,xss之htmlspecialchars 实验步骤: 输入危险字符串,并查看后台源码。发现双引号和尖括号被
php htmlspecialchars加强版
10-29
本文介绍了一个被称为“加强版”的 `htmlspecialchars` 函数,它在原生 `htmlspecialchars` 的基础上进行了扩展和优化,旨在提供更安全、更灵活的字符串转义功能。 #### 标题详解 - **PHP htmlspecialchars 加强版...
php 去除html标记--strip_tags与htmlspecialchars的区别详解
10-27
PHP中,处理HTML字符串时,我们经常需要对其中的HTML标记进行处理,以确保数据安全或进行特定的文本操作。本文将详细讲解`strip_tags`和`htmlspecialchars`这两个函数的区别,以及它们在实际应用中的作用。 首先...
XSS漏洞定位和修复方法——htmlspecialchars() 函数
12-01 2237
安全测试】XSS漏洞定位和修复方法——htmlspecialchars() 函数 上一篇 / 下一篇  2011-08-25 18:49:11 / 个人分类:安全测试 测试的XXX的版本中,扫描器扫描出一个中威胁的XSS漏洞,对BUG定位和解决消耗了一定的时间,在咨询过安全测试组的同学后,终于弄清楚了解决的方法,现在根据结果倒推回来,有利于指导测试和帮助开同学定位类似的问题,所
htmlspecialchars() 函数过滤XSS的问题
热门推荐
qlxmy的博客
03-05 1万+
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,character-set,double_en
phphtml解析函数,php htmlspecialchars()与shtmlspecialchars()函数的深入分析
weixin_42400619的博客
03-10 188
本篇文章是对php中的htmlspecialchars()与shtmlspecialchars() 函数进行了详细的分析介绍,需要的朋友参考下定义和用法htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。预定义的字符是:•& (和号) 成为 &•" (双引号) 成为 "•' (单引号) 成为 '•< (小于) 成为 <•> (大于)...
PHP中str_split()函数的用法讲解
菜鸟教程
04-08 1167
更多python、PHP、JAVA教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com表格制作excel教程 http://www.tsgmyy.cn 学习通 http://www.hssi.net/ PHP str_split() 函数 实例 把字符串 "Hello"
编程语言phphtmlspecialchars、strip_tags、addslashes函数的简单介绍
10-30 271
编程语言phphtmlspecialchars、strip_tags、addslashes函数的简单介绍 在网页程序开发中,htmlspecialchars、strip_tags、addslashes函数是最常见的,本篇文章将会分别来介绍这三个函数。 1.strip_tags()函数 strip_tags() 函数去除字符串中的 HTML、XML 以及 PHP 的标签。 示例 <?php $name="Hello <b>world!</b>"; $tags=s
phphtmlentities函数htmlspecialchars函数bug记录
xieye114的专栏
12-21 111
phphtmlentities函数htmlspecialchars函数bug记录 当对gbk编码的字符串调用该函数时,偶尔会有返回空的情况。 解决方案: 使用mb_convert_encoding或iconv函数将字符串转utf-8调用这些函数,最后再转回gbk,搞定。 ...
php缓冲区溢出漏洞,CVE-2016-5114
weixin_36480510的博客
03-19 912
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP中的sapi/fpm/fpm/fpm_log.c文件中存在安全漏洞,该漏洞源于程序没有正确处理snprintf函数的返回值。攻击者可借助较长的字符串利用该漏洞获取进程内存中的敏感...
PHP表单验证[文本字段、单选按钮、表单元素、什么是$_SERVER[“PHP_SELF“]变量、什么是htmlspecichars()方法]
最新发布
H1453571548的博客
10-09 227
PHP表单验证[文本字段、单选按钮、表单元素、什么是$_SERVER["PHP_SELF"]变量、什么是htmlspecichars()方法]
php 10.0编码器,技巧:PHP原版HTML编码器溢出问题的解决_php
weixin_29029145的博客
03-27 133
php5.1.6、4.4.4及以前版本中,在查找关于“htmlspecialchars() and htmlentities() ”相关字符编码的时候,当UTF-8编码被选择的时候可能会触发一个可能的缓冲器溢出。“While we were searching for a hole in htmlspecialchars() and htmlentities() to bypass the enc...
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4804
xss绕过和htmlspecialchars函数绕过
防范PHP常见漏洞:SQL注入与跨站攻击策略
PHP编程中,确保代码安全至关重要,特别是面对常见的安全漏洞。本文主要关注PHP开发中的两大关键威胁:SQL注入和跨站脚本攻击(XSS)。这些漏洞可能导致数据泄露、系统破坏,甚至威胁用户的隐私和信任。 **1. SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值