php mysql可以跨站_修复PHP跨站脚本攻击漏洞(XSS)方法

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量235 收藏
点赞数
文章标签: php mysql可以跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42541463/article/details/113474359
版权

1、昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达。

2、神马是XSS,额我也不懂,百度如下:

用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。

所以,如果你的网站有XSS漏洞,最好还是修复一下,避免小人利用。

3、360给出的修复方案:

3997a9b47cfd48637a10a9582bb3d451.png

代码呢,能写代码的当然好,可惜我不会,所以我选择了360的插件。

4、修复方法

360提供的是专站专用的插件,插件代码会和网站有专用的Key,所以请下载前修改域名部分。

http://webscan.360.cn/protect/down?domain=yourdomain.com  将上面yourdomain.com修改为你的域名,然后浏览器访问就可以下载插件。

把插件解压上传至根目录,剩下就是开启插件了。

按照360教程,是要在网站中的一个公用文件(如数据库的链接文件)中插入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

} //注意文件路径

fd0554ee56f8ef5950a30bcccd298e77.png

(当时忘记截图,只能百度找了张样片

acd75ed337326588f0e6da409c7edf63.png)

代码可以添加到网站根目录下的index.php,或数据库连接文件。但目前网站更新频繁,index.php十有八九会被替换掉,所以数据库连接文件是最合适的!

SO?数据库链接文件在哪?我不清楚,翻看了所有php文件,最可能的是puyuetian\mysql\class.php

OK,找到了,那就把代码加到第一个<?php之后 :

dd1b084943ea01ef94d1347640038eca.png

5、重新检测,跨站脚本攻击漏洞(XSS)修复成功!!

至此,以解决本人遇到的问题,希望能给后来同此烦恼的站长一点帮助!

8de36629d7edadf93bc3db5e903a75fb.png

协和临床营养科陈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 跨站脚本攻击漏洞修复 v1.0
05-18
PHP 跨站脚本攻击漏洞修复插件php防护代码,依托360360_safe3.php文件,使用方法:1.将360_safe3.php传到要包含的文件的目录,2.在页面中加入防护,有两种做法,根据情况二选一即可:   a).在所需要防护的页面加入代码   require_once('360_safe3.php');   就可以做到页面防注入、跨站   如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!   添加require_once('360_safe3.php');来调用本代码 运行环境:PHP
LNMP下防跨站、跨目录的安全设置,仅支持PHP5.3.3以上版本
09-15
然而,LNMP环境中可能存在跨站(Cross-Site Scripting, XSS)和跨目录访问的安全隐患,这可能导致数据泄露、恶意攻击等严重问题。为了解决这些问题,尤其是对于PHP 5.3.3及以上版本,我们可以利用PHP的open_basedir...
php 跨站脚本攻击漏洞,PHP跨站脚本攻击(XSS)漏洞修复思路(二)
weixin_42300721的博客
03-10 657
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等;②、张戈博客(WordP...
php跨站脚本攻击(xss)黄页模板xss漏洞集 怎么修复,ecshop文章xss跨站脚本攻击漏洞修复方法...
weixin_39672296的博客
03-12 98
ECSHOP的文章、留言等页面,其实都存在XSS跨站脚本攻击漏洞,以下提供文章页面修复解决方法:打开/includes/lib_article.php文件,最底部 ?> 的上面加入以下代码/* 代码过滤器在打开article_cat.php文件,搜索如下代码/* 获得文章列表 */if (isset($_REQUEST['keywords'])){$keywords = addslashes...
PHP安全编程:跨站脚本攻击
tracywxh的专栏
01-14 1029
跨站攻击攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交:
PHP跨站脚本攻击XSS)防范方案
最新发布
m0_66326520的博客
04-09 1130
反射型XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载和脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
PPS影视自助建站系统 php版.zip
06-18
2. 安全防护:安装防火墙,定期更新系统和插件,防止SQL注入、XSS攻击等安全问题。 3. 性能优化:监控服务器资源,合理配置内存、CPU,优化数据库查询,提升网站响应速度。 4. 法律合规:确保网站内容符合法律法规,...
4052黑色个性漂亮的安卓APPhtml5模板5570_企业网站模板PHP整站源码.zip.7z
08-01
- **安全考虑**:防止SQL注入、XSS攻击等,需要正确过滤用户输入,使用预处理语句,并保持软件更新以修复已知漏洞。 总的来说,这个压缩包提供了一个完整的解决方案,涵盖了从静态网页设计到动态网站开发再到移动...
经内音乐全站源码精仿SongTaste(PHP+Mysql商业版)
06-04
PHPMySQL的安全实践,如SQL注入防护、XSS攻击防御、数据加密以及定期更新以修复已知漏洞,都是必须考虑的因素。 7. **性能优化**:对于音乐网站,大量用户同时访问可能导致服务器负载增加。因此,优化代码、...
细谈php中SQL注入攻击与XSS攻击
12-18
**XSS跨站脚本)攻击** XSS攻击是另一种常见的安全问题,它允许攻击者通过在网页中注入恶意脚本来影响用户。这些脚本可能窃取用户的会话cookie、执行其他恶意行为或篡改页面内容。 例如,给定的PHP代码: ```...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1981
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
XSS跨站脚本攻击漏洞修复方法
gqsunrise
05-27 3637
漏洞类型:跨站脚本攻击XSS) 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行,从而达到恶意用户的特殊目的(一般用来盗取浏览器cookie)。 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中...
如何在php中修补XSS漏洞
收集盒 Book box
12-20 721
文章作者:Langy 译文作者:riusksk 在PHP中修补XSS漏洞,我们可以使用三个PHP函数。 这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(e
php进行xss攻击修补
leivio的专栏
09-05 634
修复漏洞可以使用3个php函数: 1, 定义和用法 htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号) 成为 &" (双引号) 成为 "' (单引号) 成为 '> (大于) 成为 > 2, 定义和用法 htmlentities
PHP 安全漏洞:会话劫持、跨站点脚本、SQL 注入以及如何修复它们
allway2的博客
08-01 1452
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网站易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
跨站脚本攻击漏洞怎么修复_Drupal发布新版,修补jQuery与Symfony的跨站脚本攻击漏洞...
weixin_39851918的博客
12-16 436
开源内容管理框架Drupal对其Drupal 7、Drupal 8.5以及Drupal 8.6发布新建置版本,以修补JavaScript函式库jQuery和网页应用程式框架Symfony中跨站脚本攻击(Cross-Site Scripting,XSS)漏洞等其他问题,Drupal官方建议网站管理员立即更新。由于jQuery官方在4月中时发布新版jQuery 3.4.0,并于文件提到,之前版本存在跨...
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
09-12 1692
漏刻有时采用PHP-MVC结构,在参数传递过程中,已做参数过滤。在实际进行脚本攻击的时候会使用。
php 跨站漏洞修复,WordPress跨站XSS漏洞修复
weixin_42110469的博客
03-24 213
这几天用百度的安全联盟检测,发现网站有XSS漏洞,下面放出解决方法(存档用)打开wp-includes\query.php,在文件处开始添加去除xss的函数//清除跨站漏洞function xss_clean($data){// Fix &entity\n;$data = str_replace(array('&',''), array('&','<','>')...
xss跨站脚本攻击-运维安全详细笔记
06-30
"xss跨站脚本攻击-运维安全详细笔记" XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值