php表单安全,关于 PHP 表单安全性

最新推荐文章于 2021-12-27 13:53:27 发布
最新推荐文章于 2021-12-27 13:53:27 发布
阅读量91 收藏
点赞数
文章标签: php表单安全

PHP 表单安全性

$_SERVER["PHP_SELF"] 变量能够被***利用!

如果页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。

假设我们的一张名为 "test_form.php" 的页面中有如下表单:

">

现在,如果用户进入的是地址栏中正常的 URL:"http://www.example.com/test_form.php",上面的代码会转换为:

到目前,一切正常。

不过,如果用户在地址栏中键入了如下 URL:http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

在这种情况下,上面的代码会转换为:

这段代码加入了一段脚本和一个提示命令。并且当此页面加载后,就会执行 JavaScript 代码(用户会看到一个提示框)。这仅仅是一个关于 PHP_SELF 变量如何被利用的简单无害案例。

您应该意识到 

如果避免 $_SERVER["PHP_SELF"] 被利用?

通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用。

表单代码是这样的:

">

htmlspecialchars() 函数把特殊字符转换为 HTML 实体。现在,如果用户试图利用 PHP_SELF 变量,会导致如下输出:

">

无法利用,没有危害!

晚茶小姐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP安全表单示例
02-08
PHP编程中,确保表单数据的安全性是至关重要的,因为不正确的处理可能导致各种安全问题,如跨站脚本(XSS)、SQL注入等。在这个名为"PHP安全表单示例"的项目中,开发者使用了PHP内置的一些函数来增强表单数据的处理...
php表单提交程序的安全使用方法第1/2页
10-30
总之,确保PHP表单提交的安全性需要涵盖多个方面,包括但不限于输入验证、SQL注入防护、防重复提交、隐藏字段的安全处理以及使用最新的编程实践。在编写代码时,应始终牢记安全性,以保护用户的隐私和网站的稳定性。
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全
PHP 表单验证--安全性--小记
imwtr 的专栏
08-28 494

关于 PHP 表单安全性的重要提示
Qbit编程学习笔记
01-25 813
关于 PHP 表单安全性的重要提示 $_SERVER["PHP_SELF"] 变量能够被黑客利用! 如果您的页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。 提示:跨站点脚本(Cross-site scripting,XSS)是一种计算机安全漏洞类型,常见于 Web 应用程序。XSS 能够使攻击者向其他用户浏览的网页中输入客户端脚本。 假设我们的一张名为 "t
6个常见的 PHP 安全性攻击
justJavaC的专栏
08-20 228
了解常见的PHP应用程序安全威胁,可以确保你的PHP应用程序不受攻击。因此,本文将列出 6个常见的 PHP 安全性攻击,欢迎大家来阅读和学习。  1、SQL注入  SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。  01 $us...
PHP安全编程之表单与数据安全
爱代码也爱生活
08-10 623
在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。 数据可能有无数的来源,做为一个有安全意识的开发者,你需要简单可靠地区分两类数据: 已过滤数据被污染数据 所有你自己设定的数据可信数据,可以认为是已过滤数据。一个你自己设定的数据是任何的硬编码数据,例如下面的email地址数据:$email = 'gonn@now
PHP Web表单生成器案例分析
10-15
PHP Web表单生成器】是一...此外,还可以添加验证逻辑、AJAX提交等功能,增强表单的用户体验和安全性。对于初学者来说,理解并掌握PHP Web表单生成器的概念和实现方式,将有助于提升Web开发技能,同时提高工作效率。
PHP_表单安全详解
08-07
PHP表单安全详解】 在开发基于PHP的Web应用程序时,表单安全是至关重要的,因为用户输入的数据可能成为攻击者利用的入口点。表单安全主要包括对用户输入的验证、错误处理、防止SQL注入、XSS攻击以及管理全局变量...
form_php简单表单验证页面_
10-03
在Web应用中,表单验证是必不可少的一环,它用于确保用户提交的数据符合预期的格式和规则,从而防止无效数据的入库,提高数据质量,并在一定程度上保障系统的安全性。以下将详细解释这个项目中的关键知识点: 1. **...
关于 PHP 表单安全性
weixin_33709364的博客
06-19 88
PHP 表单安全性$_SERVER["PHP_SELF"] 变量能够被***利用!如果页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。假设我们的一张名为 "test_form.php" 的页面中有如下表单:<formmethod="post"action="<?phpecho$_SERVER["PHP_SELF"];?&gt...
PHP 用户提交的数据的安全性验证
luyaran的博客
11-28 438
为了方便大家调用,我把这个php表单验证类写成了函数集,碰到只需要其中的某一个方法的朋友,可以很方便的复制。         /*         -----------------------------------------------------------         函数名称:isNumber         简要描述:检查输入的是否为数字         输入:st
php基础及表单安全问题
m0_55754984的博客
08-13 1196
PHP语法 PHP 脚本在服务器上执行,然后向浏览器发送回纯 HTML 结果。 <?php // 此处是 PHP 代码 ?> <!DOCTYPE html> <html> <body> <h1>我的第一张 PHP 页面</h1> <?php echo "Hello World!"; ?> </body> </html> 注释:PHP 语句以分号结尾(;)。PHP 代码块的关闭标签
php表单安全,php表单提交程序的安全使用方法
weixin_42312227的博客
03-10 145
用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。//savecomment.php//大家先不要看注释,看完本文后,再回过头来看require("config.php");mysql_connect($servername,$dbusername,$dbpassword)ordie("数据库连接失败");$...
PHP表单验证安全
Hardworking666的博客
12-27 2710
文章目录一、表单简介二、表单验证实例三、$_SERVER["PHP_SELF"] 变量的跨站脚本利用与避免 一、表单简介 表单(Form)在网页中主要负责数据采集功能。 一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI(公共网关接口)程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来..
常见的 PHP 安全性攻击
rorntuck7的专栏
04-26 484
1、SQL注入  SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 $username = $_POST['username']; $query = "select * from auth where username = '".$usernam...
PHP语言之表单基础——educoder答案
weixin_45503320的博客
06-15 7953
第1关:文本类表单内容 - 资料填写 if (KaTeX parse error: Expected '}', got 'EOF' at end of input: … echo "欢迎"._POST[‘name’].",你今年".$_POST[‘age’].“岁”;} 第2关:按钮类表单内容 - 网页选择 website=isset(website = isset(website=isset(_GET[‘website’])? GET[′website′]:′′;if(_GET['website
php表单提交数据的验证处理(防SQL注入和XSS攻击等)
wml
05-27 7390
代码实例:<?php $user_name = strim($_REQUEST['user_name']);function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & //
PHP开发:表单安全与版本控制指南
本文档主要探讨了PHP编程中的关键知识点,着重于表单安全和数据库安全,以及相关的开发最佳实践。首先,表单处理是Web开发的基础,它涉及到接收用户输入并进行处理,但同时也容易受到欺骗,如通过HTTP请求欺骗来恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值