|
在跨站點(diǎn)腳本(XSS)攻擊中��,往往有一個(gè)惡意用戶在表單中(或通過(guò)其他用戶輸入方式)輸入信息��,這些輸入將惡意的客戶端標(biāo)記插入過(guò) 程或數(shù)據(jù)庫(kù)中���。例如,假設(shè)站點(diǎn)上有一個(gè)簡(jiǎn)單的來(lái)客登記簿程序����,讓訪問(wèn)者能夠留下姓名、電子郵件地址和簡(jiǎn)短的消息�����。惡意用戶可以利用這個(gè)機(jī)會(huì)插入簡(jiǎn)短消息之 外的東西�����,比如對(duì)于其他用戶不合適的圖片或?qū)⒂脩糁囟ㄏ虻搅硪粋(gè)站點(diǎn)的 JavaScript�,或者竊取 cookie 信息。
幸運(yùn)的是��,PHP 提供了 strip_tags() 函數(shù)���,這個(gè)函數(shù)可以清除任何包圍在 HTML 標(biāo)記中的內(nèi)容�。strip_tags() 函數(shù)還允許提供允許標(biāo)記的列表,比如 <b> 或 <i>����。
清單 16 給出一個(gè)示例��,這個(gè)示例是在前一個(gè)示例的基礎(chǔ)上構(gòu)建的����。
清單 16. 從用戶輸入中清除 HTML 標(biāo)記
<?php
if ($_POST['submit'] == "go"){
//清除標(biāo)簽
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//清除16進(jìn)制字符
$name = cleanHex($name);
//continue processing....
}
function cleanHex($input){
$clean = preg_replace\
("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
?>
<form action=\
"<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type=\
"text" name="name" id="name" size="20" maxlength="40"/></p>
<p><input type="submit" name="submit" value="go"/></p>
</form>
從安全的角度來(lái)看,對(duì)公共用戶輸入使用 strip_tags() 是必要的��。如果表單在受保護(hù)區(qū)域(比如內(nèi)容管理系統(tǒng))中�,而且您相信用戶會(huì)正確地執(zhí)行他們的任務(wù)(比如為 Web 站點(diǎn)創(chuàng)建 HTML 內(nèi)容),那么使用 strip_tags() 可能是不必要的���,會(huì)影響工作效率��。
還有一個(gè)問(wèn)題:如果要接受用戶輸入�����,比如對(duì)貼子的評(píng)論或來(lái)客登記項(xiàng)��,并需要將這個(gè)輸入向其他用戶顯示�,那么一定要將響應(yīng)放在 PHP 的 htmlspecialchars() 函數(shù)中。這個(gè)函數(shù)將與符號(hào)�、< 和 > 符號(hào)轉(zhuǎn)換為 HTML 實(shí)體。例如����,與符號(hào)(&)變成 &。這樣的話����,即使惡意內(nèi)容躲開(kāi)了前端 strip_tags() 的處理,也會(huì)在后端被 htmlspecialchars() 處理掉�����。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
本文出自:億恩科技【www.enidc.com】
-->
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
