易截截图软件、单文件、免安装、纯绿色、仅160KB

如何在php中修补XSS漏洞

在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
  这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。
  PHP Code:
  // 这里的代码主要用于展示这两个函数之间输出的不同
  $input = '';
  echo htmlspecialchars($input) . '
  ';
  echo htmlentities($input);
  ?>
  htmlentities()的另一个例子
  PHP Code:
  $str = "A 'quote' is bold";
  echo htmlentities($str);
  echo htmlentities($str, ENT_QUOTES);
  ?>
  第一个显示: A 'quote' is bold
  第二个显示:A 'quote' is bold
  htmlspecialchars()使用实例
  PHP Code:
  $new = htmlspecialchars("Test", ENT_QUOTES);
  echo $new;
  ?>
  显示: Test
  strip_tags()函数代替.删除所有的HTML元素(elements),除了需要特别允许的元素之外,如:, 或
  .
  strip_tags()使用实例
  PHP Code:
  $text = '
  Test paragraph.
  Other text';
  echo strip_tags($text);
  echo "\n";
  // allow
  echo strip_tags($text, '
  ');
  ?>
  现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
  首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:
  PHP Code:
  function search($query, $page)
  {
  global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
  $option = trim($option);
  $query = trim($query);
  $query = FixQuotes(nl2br(filter_text($query)));
  $db->escape_string($query);
  $db->escape_string($option);
  alpha_search($query);
  ...
  在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:
  PHP Code:
  $query = FixQuote


相关文档:

php urlencode()

在PHP中有urlencode()、urldecode()、rawurlencode()、rawurldecode()这些函数来解决网页
URL编码解码问题。
在ASP的时候URL编码解码很是恼火,Server.urlencode不太好用,遇到utf-8编码的地址更是麻
烦。你要获取百度、Google点击到网站的网址链接中的关键字,要写上一堆自定义函数来得到urldecode的效果。
摘录一篇关 ......

PHP 调用shell命令

可以使用的命令:
popen
fpassthru
shell_exec
exec
system
1.popen
resource popen
( string command, string mode )
打开一个指向进程的管道,该进程由派生给定的 command
命令执行而产生。
返回一个和 fopen()
所返回的相同的文件指针,只不过它是单向的(只能用于读或写)并且必须用 pclose()
来关闭 ......

2010年最新PHP类的精缩归纳


一:结构和调用(实例化):
class className{} ,调用:$obj = new className();当类有构造函数时,还应传入参数。如$obj = new className($v,$v2...);
二:构造函数和析构函数:
1、构造函数用于初始化:使用__construct(),可带参数。
2、但析构函数不能带参数(用于在销去一个类之前执行一些操作或功能)。析构函数 ......

php学习笔记

第一章   PHP概述
1、  基本语法
a)         要把php嵌入页面,可以把它放在PHP标签内
<?php       ?>
b)         在body标签结束之前,插入php代码
c)     ......
© 2009 ej38.com All Rights Reserved. 关于E健网联系我们 | 站点地图 | 赣ICP备09004571号