天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

如何在php中修补完善XSS漏洞

2013-1-1051CTOLangy

  在PHP中修补XSS漏洞,我们可以使用三个PHP函数。

  这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。

  PHP Code:

  // 这里的代码主要用于展示这两个函数之间输出的不同

  $input = '<  // 这里的代码主要用于展示这两个函数之间输出的不同

  $input = '<  // 这里的代码主要用于展示这两个函数之间输出的不同

  $input = '';

  echo htmlspecialchars($input) . '

  ';

  echo htmlentities($input);

  >

  htmlentities()的另一个例子

  PHP Code:

  $str = "A 'quote' is <  $str = "A 'quote' is <  $str = "A 'quote' is bold";

  echo htmlentities($str);

  echo htmlentities($str, ENT_QUOTES);

  >

  第一个显示: A 'quote' is bold

  第二个显示:A 'quote' is bold

  htmlspecialchars()使用实例

  PHP Code:

  $new = htmlspecialchars("<  $new = htmlspecialchars("<  $new = htmlspecialchars("Test", ENT_QUOTES);

  echo $new;

  >

  显示: Test

  strip_tags()函数代替.删除所有的HTML元素(elements),除了需要特别允许的元素之外,如:, 或

  .

  strip_tags()使用实例

  PHP Code:

  $text = '<  $text = '<  $text = '

  Test paragraph.

  Other text';

  echo strip_tags($text);

  echo "\n";

  // allow

  echo strip_tags($text, '

  ');

  >

  现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。

  首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:

  PHP Code:

  function search($query, $page)

  {

  global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

  $option = trim($option);

  $query = trim($query);

  $query = FixQuotes(nl2br(filter_text($query)));

  $db->escape_string($query);

  $db->escape_string($option);

  alpha_search($query);

  ...

  在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:

  PHP Code:

  $query = FixQuotes(nl2br(filter_text(htmlentities($query))));

本文来源:51CTO 作者:Langy

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行