開啟輔助瀏覽

Besv 技術討論區

 找回密碼
 立即註冊
搜尋
查看: 1344|回覆: 0

[PHP] 如何防止XSS

[複製連結]
發表於 2015-5-9 16:04:26 | 顯示全部樓層 |閱讀模式
基本上,只要一個指令即可解決多數的XSS

  1. htmlspecialchars()
複製代碼


在HTML中, < > " & 等特殊符號是有特殊的用途

HTML中使用這些符號皆可由HTML字符實體來顯示

這些字符通常都是 &name; 的方式顯示,例如& 就是&

假設一段程式碼如下

<? $txt = $_POST['txt']; ?>
<p><?php echo $txt; ?></p>

在輸入的input輸入了</p><script>alert(1)</script></p>

就會成功執行這個script(其實不用輸入這麼多)


如果$txt = $_POST['txt'];改成$txt = htmlspecialchars($_POST['txt']);

就會變成顯示</p><script>alert(1)</script></p>而已
您需要登入後才可以回文 登入 | 立即註冊

本版積分規則

黑名單|客戶連結|客服信箱|客服系統

Copyright © 2013 - 2019 Besv Technology Forum

專業網站主機服務

Powered by Discuz!

快速回覆 返回頂部 返回列表