ÈçºÎÔÚphpÖÐÐÞ²¹XSS©¶´

ÔÚPHPÖÐÐÞ²¹XSS©¶´£¬ÎÒÃÇ¿ÉÒÔʹÓÃÈý¸öPHPº¯Êý¡£
¡¡¡¡ÕâЩº¯ÊýÖ÷ÒªÓÃÓÚÇå³ýHTML±êÖ¾£¬ÕâÑù¾Íû°ì·¨×¢Èë´úÂëÁË¡£Ê¹Óøü¶àµÄº¯ÊýÊÇhtmlspecialchars() £¬Ëü¿ÉÒÔ½«ËùÓеÄ"<"Óë">"·ûºÅת»»³É"<" Óë">;"¡£ÆäËü¿É¹©Ñ¡ÔñµÄº¯Êý»¹ÓÐhtmlentities(), Ëü¿ÉÒÔÓÃÏàÓ¦µÄ×Ö·ûʵÌå(entities)Ìæ»»µôËùÓÐÏëÒªÌæ»»µôµÄÌØÕ÷Âë(characters)¡£
¡¡¡¡PHP Code:
¡¡¡¡// ÕâÀïµÄ´úÂëÖ÷ÒªÓÃÓÚչʾÕâÁ½¸öº¯ÊýÖ®¼äÊä³öµÄ²»Í¬
¡¡¡¡$input = '';
¡¡¡¡echo htmlspecialchars($input) . '
¡¡¡¡';
¡¡¡¡echo htmlentities($input);
¡¡¡¡?>
¡¡¡¡htmlentities()µÄÁíÒ»¸öÀý×Ó
¡¡¡¡PHP Code:
¡¡¡¡$str = "A 'quote' is bold";
¡¡¡¡echo htmlentities($str);
¡¡¡¡echo htmlentities($str, ENT_QUOTES);
¡¡¡¡?>
¡¡¡¡µÚÒ»¸öÏÔʾ£º A 'quote' is bold
¡¡¡¡µÚ¶þ¸öÏÔʾ£ºA 'quote' is bold
¡¡¡¡htmlspecialchars()ʹÓÃʵÀý
¡¡¡¡PHP Code:
¡¡¡¡$new = htmlspecialchars("Test", ENT_QUOTES);
¡¡¡¡echo $new;
¡¡¡¡?>
¡¡¡¡ÏÔʾ£º Test
¡¡¡¡strip_tags()º¯Êý´úÌæ.ɾ³ýËùÓеÄHTMLÔªËØ(elements)£¬³ýÁËÐèÒªÌرðÔÊÐíµÄÔªËØÖ®Í⣬È磺, »ò
¡¡¡¡.
¡¡¡¡strip_tags()ʹÓÃʵÀý
¡¡¡¡PHP Code:
¡¡¡¡$text = '
¡¡¡¡Test paragraph.
¡¡¡¡Other text';
¡¡¡¡echo strip_tags($text);
¡¡¡¡echo "\n";
¡¡¡¡// allow
¡¡¡¡echo strip_tags($text, '
¡¡¡¡');
¡¡¡¡?>
¡¡¡¡ÏÖÔÚÎÒÃÇÖÁÉÙÒѾ­ÖªµÀÓÐÕâЩº¯ÊýÁË£¬µ±ÎÒÃÇ·¢ÏÖÎÒÃǵÄÕ¾µã´æÔÚXSS©¶´Ê±¾Í¿ÉÒÔʹÓÃÕâЩ´úÂëÁË¡£ÎÒ×î½üÔÚÎÒµÄÕ¾µãÉϵÄGoogleBig(Ò»¸öMybbÂÛ̳µÄ²å¼þ)ÊÓƵ²¿·Ö·¢ÏÖÁËÒ»¸öXSS©¶´£¬Òò´ËÎÒ¾ÍÔÚÏëÈçºÎʹÓÃÕâЩº¯Êýд¶Î´úÂëÀ´ÐÞ²¹Õâ¸öËÑË÷©¶´¡£
¡¡¡¡Ê×ÏÈÎÒ·¢ÏÖÎÊÌâ³öÔÚsearch.phpÕâÒ»ÎļþÉÏ£¬ÏÖÔÚÈÃÎÒÃÇ¿´¿´Õâ¸ö²éѯ¼°Êä³ö²éѯ½á¹ûÖеIJ¿·Ö´úÂëÑо¿Ò»Ï£º
¡¡¡¡PHP Code:
¡¡¡¡function search($query, $page)
¡¡¡¡{
¡¡¡¡global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
¡¡¡¡$option = trim($option);
¡¡¡¡$query = trim($query);
¡¡¡¡$query = FixQuotes(nl2br(filter_text($query)));
¡¡¡¡$db->escape_string($query);
¡¡¡¡$db->escape_string($option);
¡¡¡¡alpha_search($query);
¡¡¡¡...
¡¡¡¡ÔÚÕâÖÖÇé¿öÏ£¬ÎÒÃÇͨ¹ýʹÓÃ$queryÕâÒ»Öµ×÷Ϊ±äÁ¿£¬È»ºóʹÓÃhtmlentities()ÕâÒ»º¯Êý£º
¡¡¡¡PHP Code:
¡¡¡¡$query = FixQuote