美图齐众专注资阳网站设计 资阳网站制作 资阳网站建设
资阳网站建设公司服务热线:028-86922220

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

如何在php中修补XSS漏洞

在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

PHP Code:

 
 
 
    
  
  
  
  1. // 这里的代码首要用于展现这两个函数之间输出的不一样  
    2.   
  
  
  2. $input = '';  
    3.   
  
  
  3. echo htmlspecialchars($input) . '  
    4.   
  
  
  4. ';  
    5.   
  
  
  5. echo htmlentities($input);  
    6.   
  
  
  6. ?>  
    7.   
  
  
  7. htmlentities()的另一个例子  
    8.   
  
  
  8. PHP Code:  
    9.   
  
  
  9. $str = "A 'quote' is bold";  
    10.   
  
  
  10. echo htmlentities($str);  
    11.   
  
  
  11. echo htmlentities($str, ENT_QUOTES);  
    12.   
  
  
  12. ?>  
    13.   
  
  
  13. ***个显示: A 'quote' is bold  
    14.   
  
  
  14. 第二个显示:A 'quote' is bold  
    15.   
  
  
  15. htmlspecialchars()运用实例  
    16.   
  
  
  16. PHP Code:  
    17.   
  
  
  17. $new = htmlspecialchars("Test", ENT_QUOTES);  
    18.   
  
  
  18. echo $new;  
    19.   
  
  
  19. ?>  
    20.   
  
  
  20. 显示: Test  
    21.   
  
  
  21. strip_tags()函数替代.删除一切的HTML元素(elements),除了须要特别准许的元素之外,如:, 或  
    22.   
  
  
  22. .  
    23.   
  
  
  23. strip_tags()运用实例  
    24.   
  
  
  24. PHP Code:  
    25.   
  
  
  25. $text = '  
    26.   
  
  
  26. Test paragraph.  
    27.   
  
  
  27. Other text';   
    28.   
  
  
  28. echo strip_tags($text);  
    29.   
  
  
  29. echo "\n";  
    30.   
  
  
  30. // allow  
    31.   
  
  
  31.  
    32.   
  
  
  32. echo strip_tags($text, '  
    33.   
  
  
  33. ');  
    34.   
  
  
  34. ?> 
    35.

现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

PHP Code:

 
 
 
    
  
  
  
  1. function search($query, $page)  
    2.   
  
  
  2. {  
    3.   
  
  
  3. global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;  
    4.   
  
  
  4. $option = trim($option);  
    5.   
  
  
  5. $query = trim($query);  
    6.   
  
  
  6. $query = FixQuotes(nl2br(filter_text($query)));  
    7.   
  
  
  7. $db->escape_string($query);  
    8.   
  
  
  8. $db->escape_string($option);  
    9.   
  
  
  9. alpha_search($query);  
    10.   
  
  
  10. ... 
    11.

在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

PHP Code:

 
 
 
    
  
  
  
  1. PHP Code:  
    2.   
  
  
  2. $query = FixQuotes(nl2br(filter_text(htmlentities($query)))); 
    3.

如果你对这三种函数还有有疑问可以使用PHP手册来查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags


新闻标题:如何在php中修补XSS漏洞
网址分享:http://zsjierui.cn/article/dpjjgec.html

其他资讯