htmlspecialchars() 函數過濾XSS的問題

?htmlspecialchars()函數的功能如下：

htmlspecialchars() 函數把預定義的字符轉換為 HTML 實體。

預定義的字符是：

它的語法如下：

htmlspecialchars(string,flags,character-set,double_encode)

? ? 其中第二個參數flags需要重要注意，很多開發者就是因為沒有注意到這個參數導致使用htmlspecialchars()函數過濾XSS時被繞過。因為flags參數對于引號的編碼如下：

可用的引號類型：

默認是只編碼雙引號的！默認只編碼雙引號！默認只編碼雙引號……重要的事情說三遍！！！

于是看下面的代碼：

<?php   $name = $_GET["name"];  $name = htmlspecialchars($name);  
?>  <input type='text' value='<?php echo $name?>'>

輕松繞過：

加上ENT_QUOTES參數：

<?php   $name = $_GET["name"];  $name = htmlspecialchars($name, ENT_QUOTES);  
?>  <input type='text' value='<?php echo $name?>'>

? ? ? ? 發現無法繞過了：

查看源代碼：

單引號已經被轉換了。

轉載于:https://www.cnblogs.com/JeromeZ/p/8452819.html

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/539416.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/539416.shtml
英文地址，請注明出處：http://en.pswp.cn/news/539416.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！