假设一些 PHP 代码回显通过首先将 addslashes()
然后 htmlspecialchars()
应用到 HTML 文档而净化的输入。我听说这是一种不安全的方法,但不知道为什么。
对于可以将哪种格式应用于危险输入(例如脚本标记中的 JavaScript)以绕过这两个函数强加的安全措施的任何建议,我们将不胜感激。
最佳答案
addslashes
与 XSS 无关(并且在实际有用的地方几乎总是有更好的东西)。
htmlspecialchars
不是不安全的方法。它本身是不够的。
htmlspecialchars
如果您将内容作为“安全”元素的主体,将会保护您。
如果您将内容作为“安全”属性的值并正确引用该值,它将保护您。
如果您将它作为“不安全”属性或元素(其中内容可能被视为 JavaScript)的值,例如 <script>
,它不会保护您。 , onmoseover
, href
或 style
.
例如:
<!-- http://example.com/my.php?message=", steal_your_cookies(), " -->
<!-- URL not encoded for clarity. Imagine the definition of steel_your_cookies was there too -->
<button onclick='alert("<?php echo htmlspecialchars($_GET['message']); ?>")'>
click me
</button>
会给你:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
这意味着:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
当您点击按钮时,它会窃取您的 cookie。
关于php - 规避用于 HTML/JavaScript 注入(inject)的 htmlspecialchars(addslashes(input)),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27249888/