防XSS攻击之特殊字符转换为html实体

最新推荐文章于 2024-05-13 12:10:52 发布
最新推荐文章于 2024-05-13 12:10:52 发布
阅读量2.8k 收藏
点赞数
分类专栏: PHP MYSQL 文章标签: php  mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44572516/article/details/96028449
版权
PHP 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
MYSQL
1 篇文章 0 订阅
订阅专栏

什么是XSS攻击,比如,比如,
我们把网站发布在网上,有一些恶意的用户在提交数据的时候会在表单输入js,css.a标签之类的这些html语言,然后这些数据被保存到数据库,那么我们要调用这些数据的时候,这些数据被原封不动的被呈现在网页上,这些数据是可以被html所识别的,届时我的的页面就会变得乱七八糟的。
怎么解决呢,我们只要在这些数据没有插入数据库前调用php内置函数将这些特殊的字符转换为html实体。接下来我们来谈谈php的这几个内置函数。

*1.htmlentities — 将字符转换为 HTML 转义字符

用法:

htmlentities( string $string[, int $flags = ENT_COMPAT | ENT_HTML401[, string $encoding = ini_get("default_charset")[, bool $double_encode = true]]] ) : string

*2.htmlspecialchars — 将特殊字符转换为 HTML 实体(这个函数与htmllentities函数的去别是,htmlentities会转换所有HTML 实体的字符,而这个函数就只转换以下特殊字符的html实体)

  • & (& 符号) ‘&amp’;
  • " (双引号) ‘&quot’,
  • ’ (单引号) 设置了 ENT_QUOTES 后, ‘&#039’;(如果是 ENT_HTML401) ,或者 ‘&apos’; (如果是 ENT_XML1、 ENT_XHTML 或 ENT_HTML5)。
  • (小于号) ‘&lt’;
  • (大于号) ‘&lt’;

用法:

htmlspecialchars( string $string[, int $flags = ENT_COMPAT | ENT_HTML401[, string $encoding = ini_get("default_charset")[, bool $double_encode = TRUE]]] ) : string
weixin_44572516
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9711
HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSS。HTML特殊字符转义及编码在范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
php过滤htmlspecialchars() 函数实现把预定义的字符转换HTML 实体用法分析
10-16
PHP编程中,`htmlspecialchars()` 是一个非常关键的函数,用于将预定义的字符转换HTML实体,以止数据在HTML环境下产生意外的解析效果。这个函数的主要作用是确保输入到网页的内容不会被浏览器错误地解释为HTML...
XSS学习笔记
Yisitelz的博客
08-02 175
XSS是指攻击者向网页中插入恶意代码,当用户浏览该页面时,嵌入在其中的代码会被执行,从而达到恶意攻击用户的目的。本文介绍了三种XSS,分别为反射型XSS、存储型XSS、DOM型XSS;并指出了常用的御方法。
javascript的转换特殊字符HTML实体字符
jinking's space
12-03 6470
首先来复习一下:RegExp对象和字符串的模式匹配的区别 RegExp与String的模式匹配的区别: var text = “cat, bat, sat, fat”; var pattern = /.at/; //与pattern.exec(text)相同 var matches = text.match(pattern); RegExp正则表达式的方法有:
【网络安全 前端XSS护】一文带你了解HTML特殊字符转义及编码_xss特殊字符替换
最新发布
2401_84970385的博客
05-13 972
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Xss(跨站脚本攻击)漏洞解析
twowords的博客
02-18 898
xss跨站脚本攻击 什么是XSS 跨站脚本攻击 (Cross Site Script),缩写CSS,为了和层叠样式表(Cascading Style Sheet,CSS)区别,在安全领域叫做“XSS”,是一种Web应用程序的漏洞。 原理: 攻击者向有XSS 漏洞的网站中(web页面)插入恶意的JavaScript代码,当用户浏览该网站页面时,嵌入其中的代码就会自动执行,从而达到恶意攻击的用户目的。 XSS漏洞的危害 盗取用户Cookie 破坏页面结构 重定向到其它网站 传播蠕虫病毒。 XSS漏洞的分类
js html特殊字符转,js 转义特殊字符html
weixin_33534991的博客
06-04 283
js转义特殊字符htmlvarstr=‘testtest换行‘;document.all.div1.innerHTML=str;//js输出特殊字符html页面String.prototype.displayHtml=function(){varstrArr=this.split(‘‘);//定义html特殊字符varhtmlChar="&<&...
XSS漏洞的HTML和JS基础
2301_80361487的博客
01-23 642
HTML 标签的大小写无关的,例如 和 表示的意思是一样的,都代表“主体”,推荐使用小写。1.事件(Event)是JavaScript应用跳动的心脏,也是把所有东西粘在一起的胶水,当我们与浏览器中 Web页面进行某些类型的交互时,事件就发生了。 //HTML文档的元数据,机器可读,如">test //标题标签 ,位于页面最上方定义浏览器工具栏中的标题。
html中的特殊字符转换
03-19
4. **XSS攻击** 特殊字符转义在止跨站脚本攻击(XSS)中起到关键作用。如果不进行转义,恶意用户可能插入JavaScript代码,导致用户浏览器执行有害脚本,危害网站安全。因此,任何来自用户输入的数据都应进行...
PHP实现表单提交数据的验证处理功能【SQL注入和XSS攻击等】
10-19
它将特殊字符(如`、`>`、`"`和`'`)转换HTML实体,阻止这些字符被浏览器解析为HTML代码。例如: ```php $username = htmlspecialchars($_POST['username'], ENT_QUOTES, 'UTF-8'); ``` 在上面的代码中,`ENT_...
php将字符串转为HTML实体类.zip
07-11
类库的主要功能是将非ASCII字符串转换HTML实体引用,这对于处理用户输入的数据尤其有用,因为这些数据可能包含各种特殊字符。 类库的实现通常会包含一个类,比如`HtmlEntitiesConverter`,这个类可能会有以下方法...
JavaScript实现字符串与HTML格式相互转换
10-15
当我们需要将字符串中的特殊字符转换为它们的HTML实体以避免在网页上被解析为HTML元素时,可以使用`encodeHtml`函数。这个函数的工作原理是遍历字符串中的每个字符,获取其Unicode编码,并将其转换HTML实体的形式...
XSS攻击
weixin_45730243的博客
12-17 1313
1、什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),攻击者往web页面里插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会执行,从而达到恶意攻击用户的目的。 模拟过程: 添加功能中,请求参数值包含script标签js代码 添加成功后,数据表中: 12 | test访问新增的这条数据,js代码会被浏览器解析并执行。 Xss攻击严重影响了正常用户对网站的访问。 2、转化的思想xss攻击 转化的思想:将输入的内容中的<>转化为html
xss php 转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符xss攻击以及sql注入...
weixin_29137997的博客
03-09 544
一、转义或者转换的目的1.转义或者转换字符串止sql注入2.转义或者转换字符html非过滤引起页面布局变化3.转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式二、函数1. addslashes($str);此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)转义出现在html中的单引号(‘)和双引号(“),经...
跨站脚本攻击XSS
qq_45557130的博客
10-16 1410
xss
xss 加html标签,可以被XSS利用的HTML标签和一些手段技巧
weixin_42395725的博客
06-18 1463
XSS让我们在渗透中有无限的可能,只要你发挥你的想象。 引用一位前辈总结的很贴切的一句话——“XSS使整个WEB体系变得具有灵性”。网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用...
HTML 清理(逃逸)对抗 XSS 攻击
allway2的博客
07-25 1111
在上面的例子中,被“”包围的“script”标签被清理了。它是一个HTML标签,在净化处理之前作为脚本标签运行,但在净化处理之后,“”被替换为字符串“”,因此它们显示在浏览器。通常,通常会指定“ENT_QUOTES”,它不仅会过滤“”,还会过滤“'(单引号)”和“”(双引号)。在上述函数“htmlentities”中,不仅“”,而且“”(双引号)和“&”分别被替换为不同的字符串“"我介绍了如何将“”替换为“<......
XSS学习(一)之HTML
Praifire的博客
08-11 1974
学习网站:http://xsst.sinaapp.com/example/1-1.php 一、Xss全称是cross site scripting,即跨站脚本攻击。 二、用处:作为用来窃取信息的主要攻击方式。 三、Cookies :Cookies一词用在程序设计中是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。从本质上讲,它可以看作是你的身份证
【网络安全 / 前端 XSS 护】一文带你了解 HTML特殊字符转义及编码
胡西风的博客
04-01 331
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍中插入恶意 HTML 标签或属性。例如,当浏览器检测到页面中的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 中的特殊字符被转义为实体编码,止了恶意代码的执行。
xss-labs靶场实战:安全御与攻击技巧
htmlspecialchars()的作用是将预定义的特殊字符转换HTML实体,如将双引号、单引号和HTML标签转换为字符实体,以止它们被浏览器解释为HTML结构。然而,攻击者发现了一个漏洞:在PHP代码块的echo输出中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值