假设一些 PHP 代码回显了通过首先应用addslashes()然后再应用htmlspecialchars()到 HTML 文档来清理的输入。我听说这是一种不安全的方法,但不知道为什么。
任何关于可以将哪种格式应用于危险输入(例如脚本标签中的 JavaScript)以绕过这两个函数强加的安全措施的任何建议都将不胜感激。
问问题
1447 次
1 回答
3
addslashes与 XSS 无关(在实际有用的地方几乎总是有更好的东西)。
htmlspecialchars不是不安全的方法。它本身是不够的。
htmlspecialchars如果您将内容作为“安全”元素的主体,它将保护您。
如果您将内容作为“安全”属性的值,并且您还正确引用了该值,它将保护您。
如果您将其作为“不安全”属性或元素(其内容可能被视为 JavaScript)的值,例如<script>、或.onmoseoverhrefstyle
例如:
<!-- http://example.com/my.php?message=", steal_your_cookies(), " -->
<!-- URL not encoded for clarity. Imagine the definition of steel_your_cookies was there too -->
<button onclick='alert("<?php echo htmlspecialchars($_GET['message']); ?>")'>
click me
</button>
会给你:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
这意味着相同:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
当您单击按钮时,它将窃取您的 cookie。
于 2014-12-02T12:57:42.683 回答