我们都知道,php网站程序虽然容易上手,但一直都有新的漏洞爆出,今天就给大家来说说最基本的一种漏洞xss脚本攻击漏洞,虽然这种漏洞存在已久,但目前还是有很多php站点遭受这种漏洞攻击。
我们怎么来判断真假的站点有没有这种漏洞呢?其实很简单,只需要在你的网站域名后带上相关参数即可测试。
例如 127.0.0.1/index.php?id=11,我们输出看看,
是正常显示的,
我们再来把后面的参数改改127.0.0.1/index.php?id=,我们在连接后面带了参数id=,我们这样在浏览器输入打开,
如果发现网页变成了红色,就代表注入成功了,(前提是id在网页里面有输出的地方)那么要怎么去解决这种xss攻击呢?
我们只需要对所有进出数据库的数据进行过滤,防止用户提交有害的参数即可。
解决方法一:可以用htmlspecialchars这个函数对数据进行过滤,这个函数会把代码中的特殊字符转义成HTML实体,输出的时候就不会影响页面了。例如:这样我们网站输出的时候,就自动把$a这个变量的所有数据进过滤。
总之,不管是写进数据库还是输出,我们都要把没一个数据进行严格过滤,这样才能保证不被有害参数渗透进去。