Php修复xss,可以使用三个php函数修补xss漏洞

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量669 收藏
点赞数
文章标签: Php修复xss

在php中修补xss漏洞,我们可以使用三个php函数。

这些函数主要用于清除html标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的""符号转换成"<" 与"&gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

php code:

// 这里的代码主要用于展示这两个函数之间输出的不同

$input = '';

echo htmlspecialchars($input) . '
';

echo htmlentities($input);

?>

htmlentities()的另一个例子

php code:

$str = "a 'quote' is bold";

echo htmlentities($str);

echo htmlentities($str, ent_quotes);

?>

第一个显示: a 'quote' is <b>bold</b>

第二个显示:a 'quote' is <b>bold</b>

htmlspecialchars()使用实例

php code:

$new = htmlspecialchars("test", ent_quotes);

echo $new;

?>

显示: <a href='test'>test</a>

strip_tags()函数代替.删除所有的html元素(elements),除了需要特别允许的元素之外,如:,

.

strip_tags()使用实例

php code:

$text = '

test paragraph.

other text';

echo strip_tags($text);

echo "n";

// allow

echo strip_tags($text, '

');

?>

现在我们至少已经知道有这些函数了,当我们发现我们的站点存在xss漏洞时就可以使用这些代码了。我最近在我的站点上的googlebig(一个mybb论坛的插件)视频部分发现了一个xss漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。

www.qifanweb.com

首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

php code:

function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);  $query = fixquotes(nl2br(filter_text($query)));

$db->escape_string($query);

$db->escape_string($option);

alpha_search($query);

...

在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

php code:

$query = fixquotes(nl2br(filter_text(htmlentities($query))));

康少妈爱康少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在php修补XSS漏洞
收集盒 Book box
12-20 721
文章作者:Langy 译文作者:riusksk 在PHP修补XSS漏洞,我们可以使用三个PHP函数。 这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(e
什么XSS攻击?PHP防止XSS攻击函数
小白菜的专栏
03-22 698
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框: 2.XSS 输入也可能是 HTML 代码段,譬如: (1).网页不停地刷新 (2).嵌入其它网站的链接 防止XSS攻击测试路径:   其实
PHP 安全:如何防止PHP中的XSS
最新发布
新华编程特战队
04-24 1025
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
整理php防注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7231
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
alashan007的博客
05-29 1222
原文地址:http://www.manongjc.com/article/1103.html 先来看一下htmlspecialchars函数和strip_tags函数使用实例:   [php] view plain copy &lt;?php   $str="&lt;a href='http://www.manongjc.com'&gt;码农教程'\"&lt;/a&gt;";   e...
xss php 转义_php 过滤存储型XSS攻击
weixin_35762215的博客
03-09 136
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的;后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法//过滤存储型XSS攻击//过滤存储型XSS攻击public function safe_filter(&...
SQL+XSS漏洞修复方案
04-13
修复XSS攻击通常包括以下策略: 1. 对输出内容进行编码或过滤:对HTML、JavaScript和URL特殊字符进行转义,防止它们被浏览器解释为代码。 2. 合理设置HTTP头部:使用Content-Security-Policy(CSP)限制浏览器加载...
最新完善版XSS平台源码 【40多个模块】,xss源码下载,PHP
03-26
开发者可以通过分析这些模块,了解攻击链路,提高对XSS漏洞的敏感度。 此外,该平台可能还包含了一些检测和修复工具,如XSS审计工具,可以帮助开发者在代码审查阶段发现潜在的XSS问题。同时,可能还会有一些安全...
XSS漏洞
04-05
标签中的“工具”可能指的是可以用来检测和防御XSS攻击的工具,如OWASP ZAP、Burp Suite等安全测试工具,它们可以帮助开发者识别潜在的XSS漏洞,并提供修复建议。 压缩包中的文件“PHP中SQL注入与跨站攻击的防范....
xss-injection
04-04
5. **使用最新的PHP版本和安全框架**:更新PHP版本可以修复已知的安全漏洞,而使用安全的框架可以帮助开发者遵循最佳实践。 在压缩包中的"xss-injection-main"文件可能包含用于演示XSS攻击的PHP代码和相关资源。...
xss漏洞,网站安全编程,黑客编程
02-07
综上所述,XSS漏洞是网站安全的重要威胁,开发者应掌握相应的安全编程技巧,了解黑客可能使用的攻击手法,并在项目开发过程中积极防御,保障用户的数据安全。通过学习如ASM、C/C++、C#、.NET和LAMP等编程语言,可以...
php过滤XSS攻击的函数
01-20
下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。复制代码 代码如下:<?phpfunction RemoveXSS($val) {     // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed     // this prevents some character re-spacing such as <java>     // note that you have to handle splits with \n, \
php xss过滤
NewHope, NewLife
06-21 6416
zz from: http://thinkblog.sinaapp.com/?p=72 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。 下面是thinkphp里面的一段代码,用于过滤xss ThinkPHP\Code\Thi
xss过滤函数
weixin_33701251的博客
02-03 350
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如这些代码包括HTML代码和客户端脚本。 function remove_xss($string) { $string = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', ...
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 593
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
xss 跨站脚本漏洞 php,跨站脚本漏洞(XSS)基础讲解
weixin_33044131的博客
03-09 546
XSS漏洞一、文章简介XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。这篇文章将带你通过代码层面去理解三个问题:什么是XSS漏洞XSS漏洞有哪些分类?如何防范XSS漏洞?二、XSS 漏洞简介跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到...
PHP防止SQL注入和XSS攻击
听海Movie的专栏
09-15 6511
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以防止Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
PHP代码审计5—XSS漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-26 1004
简单的XSS学习
PHP代码审计基础:XSS漏洞
1匹黑马
11-28 563
文章目录xss攻击xss的危害挖掘思路反射型xss常见场景存储型xss存储型与反射型的区别DOM型xss什么是DOM型xssDOM型常见属性 xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内
tp6怎样修复XSS漏洞
08-09
对于TP6来修复XSS漏洞,可以考虑以下几个方法: 1. 对请求参数进行过滤处理,替换掉具有潜在危害的标签。可以使用相关函数进行处理,比如htmlspecialchars函数来转义特殊字符。 2. 引入第三方库进行XSS过滤。可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值