0

反正有没有绕过输入清理并进行 HTML 注入。

这是 bWAPP 的一个练习。当我尝试做 HTMLi 时,会检查输入验证并清理特殊字符。附加了清理代码,还有其他方法可以绕过代码并进行 HTML 注入吗?

function xss_check_3($data, $encoding="UTF-8")
{
    // htmlspecialchars - convert specialchars to HTML entities
    //  '&'(ampersand) becomes '&'
    // '"'(double quotes) becomes '"' when ENT_NOQUOTES is not set
    // "'"(Single quotes) becomes ''' (or ') only when ENT_QUOTES is 
      set
   // '<'(lessthan) becomes '&lt;'``
   // '>'(greterthan) becomes '&gt;'

  return htmlspecialchars($data, ENT_QUOTES, $encoding);
}
4

1 回答 1

0

htmlspecialchars()是清理 HTML 输入的正确方法。这基本上就是该功能的设计目的。

但是请注意,如果输入不是 UTF-8 编码的,则可能会出现问题

htmlspecialchars 上的 PHP 文档说(强调我的):

某些字符在 HTML 中具有特殊意义,如果要保留其含义,则应由 HTML 实体表示。此函数返回一个带有这些转换的字符串。如果您需要翻译具有关联命名实体的所有输入子字符串,请改用 htmlentities()。

如果传递给此函数的输入字符串和最终文档共享相同的字符集,则此函数足以准备输入以包含在 HTML 文档的大多数上下文中。但是,如果输入可以表示最终文档字符集中未编码的字符,并且您希望保留这些字符(作为数字或命名实体),则此函数和 htmlentities()(仅编码具有命名实体的子字符串等价物)可能是不够的。您可能必须改用 mb_encode_numericentity()。

然而它不足以防止 SQL 注入

于 2019-04-20T07:44:43.010 回答