数据入库优化—— 防xss攻击

最新推荐文章于 2022-05-18 20:04:08 发布
最新推荐文章于 2022-05-18 20:04:08 发布
阅读量116 收藏
点赞数
文章标签: php python
原文链接:https://my.oschina.net/u/3530967/blog/1545740
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

什么是xss攻击:

叫跨站脚本攻击 , XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

 

需要用户输入下面代码,提交表弟,就是xss攻击

<script>alert('xss')</script>

 

如何防止:解决方案,有3个方案。

1、原生php,在所有需要入库的数据用htmlentities(  ) 处理。

2、TP5框架自带,在表单数据获取,比如$data=input( 'post.'  ,  '  ' ,  ' htmlentities '   )

3、在TP5自带配置文件 ,'default_filter'         => 'htmlentities',

 

注意,编辑器一般转换会2次转换,所以的让编辑器反转换:在模版文件变量后天添加

   |html_entity_decode

转载于:https://my.oschina.net/u/3530967/blog/1545740

weixin_34026484
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS攻击解决办法
01-20
XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
xss输入对输入内容进行处理和跨域浏览器设置
weixin_57246351的博客
09-26 386
XSS漏洞及修复方案
若明天不见
07-19 2万+
XSS漏洞介绍、XSS危害及相关修复方案 XSS的原理是WEB应用程序混淆了用户提交的数据和脚本的代码边界,导致浏览器把用户的输入当成了脚本代码来执行。XSS的攻击对象是浏览器一端的普通用户。
PHP数据入库优化-仿XSS攻击之一二
从2017开始记录起的博客
09-09 366
1.XSS概念    全称跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(CSS,Cascading Style Sheets)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。  2.在数据入库的时候为了XSS攻击,我
xss攻击解决方案
M1275601161的博客
03-09 3891
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击简单的预就是对Req
csrf和xss的网络攻击及范、web性能优化 等基础常识
Pandora_417的博客
10-18 180
csrf和xss的网络攻击及范 CSRF攻击:(跨站请求伪造) 在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 行为 :会盗取用户身份发送恶意请求,更改数据库。 御CSRF 攻击主要有三种策略: 验证 HTTP Referer 字段; 在请求地址中添加 token 并验证; 在 HTTP 头中自定义属性并验证。 XSS攻击:(跨站脚本攻击) 嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作
ASP.NET源码——某物流网站源码.zip
10-10
10. **安全措施**:止SQL注入、XSS攻击等安全漏洞,确保用户数据的安全。 通过对这个源码的学习和研究,开发者可以深入了解ASP.NET在实际项目中的应用,提升自己的开发技能,同时对物流行业的业务流程和技术需求...
ASP毕业设计——ASP企业物流平台的设计与实现(源代码+论文).zip
09-15
6. **安全性与优化**:讨论如何止SQL注入、XSS攻击等安全问题,以及如何优化ASP代码和数据库查询以提升系统性能。 7. **测试与部署**:介绍系统测试的方法,如单元测试、集成测试,以及在实际服务器环境中的部署...
JSP实例开发源码——java进销存管理系统(jsp+mssql).zip
10-25
6. 安全性与优化:系统应考虑安全性问题,如止SQL注入、XSS攻击等,同时,合理使用缓存、优化查询语句、减少不必要的网络传输,可以提高系统性能。 7. 用户权限管理:在进销存系统中,往往需要对用户进行角色划分...
ASP网站实例开发源码——AVON仓库进销存管理系统网络版(源码+数据库).zip
10-21
- **安全考虑**:学习如何止SQL注入、XSS攻击等常见的Web安全问题,确保系统安全。 - **性能优化**:理解如何优化数据库查询、减少服务器负担,提高系统性能。 6. **扩展性与维护**: - **模块化设计**:良好...
PHP实例开发源码-php精仿某地方人才网整站源码.zip
最新发布
11-21
- 源码应考虑XSS跨站脚本攻击、CSRF跨站请求伪造等安全问题,采取相应的护措施。 - 优化方面,可以考虑代码重构、减少数据库查询次数、缓存技术的使用等。 7. **可扩展性与维护性**: - 设计良好的架构和模块...
收集了一些XSS攻击平台
软件质量优化
09-16 1万+
Attack APIBeEF  可与Metaspolit整合   http://fuzzexp.org/metasploit-and-beef-the-tutorial-chinese.html   http://www.myhack58.com/Article/html/3/8/2013/36603.htm  http://saysec.diandian.com/post/2012-09-04/
文本框中插入XSS脚本--「存储型」
u011215939的博客
04-12 7733
文本框中插入XSS脚本–「存储型」 这几天在对一个站进行测试的时候,发现一个在文本框中插入xss脚本的新思路(可能不是新的……),经过验证可以成功插入并执行。所以想记录一下啦,觉得写得太渣的大佬勿喷。 1. 这是一个功能比较简单的公告发布编辑器 2. 先在可以输入的地方,直接插入xss脚本,看看他的执行情况。 3. 保存之后,在公告栏中可以发现标题已经成功...
xss漏洞修复踩坑总结
BHSZZY的博客
05-18 3196
一、言 最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来; 说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。 二、修复方法:端修复 这个问题之也遇到过,于是就按照之的修复方法,让端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。 谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。 如果从端输入含有<a
XSS攻击常识及常见的XSS攻击脚本汇总
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何御。关于XSS有关危害,我这里中罗列...
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
XSS插入绕过一些方式总结
煜铭2011
05-05 7万+
0x00言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
xss攻击
xiaosongwahaha的博客
12-17 201
HttpServletRequestWrapper的子类中的方法没有被调用 XssHttpServletRequestWrapper中的方法没有被调用 (GET /ranking/category-hb/&cat=bh%22onmouseover=alert(9713)%3E%22)@416977618 org.eclipse.jetty.server.Request@18da
XSS攻击详解:类型、危害与护策略
XSS攻击常识及常见的XSS攻击脚本汇总 本文档深入探讨了跨站脚本(XSS)攻击的基本概念、原理和常见危害。XSS是一种网络安全威胁,发生在目标网站用户访问含有恶意脚本的网页时,这些脚本在用户的浏览器上执行,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值