如何在php中修補XSS漏洞發(fā)布者：本站     時(shí)間：2020-05-06 16:05:52

在PHP中修補XSS漏洞，我們可以使用三個(gè)PHP函數。

這些函數主要用于清除HTML標志，這樣就沒(méi)辦法注入代碼了。使用更多的函數是htmlspecialchars() ，它可以將所有的"<"與">"符號轉換成"<" 與">；"。其它可供選擇的函數還有htmlentities(), 它可以用相應的字符實(shí)體（entities）替換掉所有想要替換掉的特征碼（characters）。

PHP Code:

// 這里的代碼主要用于展示這兩個(gè)函數之間輸出的不同

$input = '';

echo htmlspecialchars($input) . '
';

echo htmlentities($input);

?>

htmlentities()的另一個(gè)例子

PHP Code:

$str = "A 'quote' is bold";

echo htmlentities($str);

echo htmlentities($str, ENT_QUOTES);

?>

第一個(gè)顯示： A 'quote' is <b>bold</b>

第二個(gè)顯示：A 'quote' is <b>bold</b>

htmlspecialchars()使用實(shí)例

PHP Code:

$new = htmlspecialchars("Test", ENT_QUOTES);

echo $new;

?>

顯示： <a href='test'>Test</a>

strip_tags()函數代替.刪除所有的HTML元素（elements），除了需要特別允許的元素之外，如：, 或

.

strip_tags()使用實(shí)例

PHP Code:

$text = '

Test paragraph.

Other text';
echo strip_tags($text);

echo "\n";

// allow

echo strip_tags($text, '

');

?>

現在我們至少已經(jīng)知道有這些函數了，當我們發(fā)現我們的站點(diǎn)存在XSS漏洞時(shí)就可以使用這些代碼了。我最近在我的站點(diǎn)上的GoogleBig（一個(gè)Mybb論壇的插件）視頻部分發(fā)現了一個(gè)XSS漏洞，因此我就在想如何使用這些函數寫(xiě)段代碼來(lái)修補這個(gè)搜索漏洞。

首先我發(fā)現問(wèn)題出在search.php這一文件上，現在讓我們看看這個(gè)查詢(xún)及輸出查詢(xún)結果中的部分代碼研究一下：

PHP Code:

function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);

$query = FixQuotes(nl2br(filter_text($query)));

$db->escape_string($query);

$db->escape_string($option);

alpha_search($query);

...

在這種情況下，我們通過(guò)使用$query這一值作為變量，然后使用htmlentities（）這一函數：

PHP Code:

$query = FixQuotes(nl2br(filter_text(htmlentities($query))));

如果你對這三種函數還有有疑問(wèn)可以使用PHP手冊來(lái)查看：

http://it.php.net/htmlentities

http://it2.php.net/htmlspecialchars

http://it2.php.net/strip_tags