如果在 PHP 代码的开头正确地“Html-Entity Encoded”,这种单独在表单字段中的字符组合是否可以用于 XSS 或 SQL 攻击?
<>
这是一个非常简单的程序,它在我们提交表单时显示文本字段中的文本值:
<?php
foreach ($_POST as &$_HTTP_FIELD) {
$_HTTP_FIELD = htmlentities($_HTTP_FIELD,ENT_QUOTES,'ISO-8859-1');
}
foreach ($_GET as &$_HTTP_FIELD) {
$_HTTP_FIELD = htmlentities($_HTTP_FIELD,ENT_QUOTES,'ISO-8859-1');
}
?>
<html><body>
<form action="/index2.php" name="abcd" method="post">
<input type="text" name="texte" value="<? echo $_POST['texte'];?>">
<input type="submit" name="Soumission" value="Submit">
</form>
</body></html>
我确信这没有遵循最佳编码实践,但就其本身而言,如果回显变量位于“值”字段中,则此代码似乎没有风险。
但是当我们在文本字段中尝试“<>”时,虚拟主机防火墙将通过发送 403 错误来阻止请求。
为了清楚起见,我没有在此处指定文档编码,但实际上该文档是在 ISO-8859-1 中制作的。所以它匹配htmlentities函数。
最佳答案
<>可能行不通但是
" onmouseover="alert(1)
可能会成功,因为它呈现为
<input type="text" name="texte" value="" onmouseover="alert(1)">
关于mysql - Html-Entity 编码的空 HTML 标签,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29379555/