|
在跨站點(diǎn)腳本(XSS)攻擊中����,往往有一個(gè)惡意用戶在表單中(或通過其他用戶輸入方式)輸入信息�����,這些輸入將惡意的客戶端標(biāo)記插入過 程或數(shù)據(jù)庫中�。例如,假設(shè)站點(diǎn)上有一個(gè)簡(jiǎn)單的來客登記簿程序����,讓訪問者能夠留下姓名、電子郵件地址和簡(jiǎn)短的消息���。惡意用戶可以利用這個(gè)機(jī)會(huì)插入簡(jiǎn)短消息之 外的東西����,比如對(duì)于其他用戶不合適的圖片或?qū)⒂脩糁囟ㄏ虻搅硪粋(gè)站點(diǎn)的 JavaScript����,或者竊取 cookie 信息。
幸運(yùn)的是�,PHP 提供了 strip_tags() 函數(shù),這個(gè)函數(shù)可以清除任何包圍在 HTML 標(biāo)記中的內(nèi)容�。strip_tags() 函數(shù)還允許提供允許標(biāo)記的列表,比如 <b> 或 <i>���。
清單 16 給出一個(gè)示例����,這個(gè)示例是在前一個(gè)示例的基礎(chǔ)上構(gòu)建的�����。
清單 16. 從用戶輸入中清除 HTML 標(biāo)記
<?php
if ($_POST['submit'] == "go"){
//清除標(biāo)簽
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//清除16進(jìn)制字符
$name = cleanHex($name);
//continue processing....
}
function cleanHex($input){
$clean = preg_replace\
("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
?>
<form action=\
"<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type=\
"text" name="name" id="name" size="20" maxlength="40"/></p>
<p><input type="submit" name="submit" value="go"/></p>
</form>
從安全的角度來看�,對(duì)公共用戶輸入使用 strip_tags() 是必要的����。如果表單在受保護(hù)區(qū)域(比如內(nèi)容管理系統(tǒng))中����,而且您相信用戶會(huì)正確地執(zhí)行他們的任務(wù)(比如為 Web 站點(diǎn)創(chuàng)建 HTML 內(nèi)容),那么使用 strip_tags() 可能是不必要的�,會(huì)影響工作效率。
還有一個(gè)問題:如果要接受用戶輸入�����,比如對(duì)貼子的評(píng)論或來客登記項(xiàng)����,并需要將這個(gè)輸入向其他用戶顯示,那么一定要將響應(yīng)放在 PHP 的 htmlspecialchars() 函數(shù)中��。這個(gè)函數(shù)將與符號(hào)�����、< 和 > 符號(hào)轉(zhuǎn)換為 HTML 實(shí)體�����。例如,與符號(hào)(&)變成 &���。這樣的話��,即使惡意內(nèi)容躲開了前端 strip_tags() 的處理,也會(huì)在后端被 htmlspecialchars() 處理掉��。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.itdijia.com】
本文出自:億恩科技【www.enidc.com】
-->
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
