在php中修補(bǔ)xss漏洞,我們可以使用三個(gè)php函數(shù)�����。
這些函數(shù)主要用于清除html標(biāo)志���,這樣就沒(méi)辦法注入代碼了�����。使用更多的函數(shù)是htmlspecialchars() ���,它可以將所有的"<"與">"符號(hào)轉(zhuǎn)換成"<" 與">;"��。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應(yīng)的字符實(shí)體(entities)替換掉所有想要替換掉的特征碼(characters)�。
php code:
<?
// 這里的代碼主要用于展示這兩個(gè)函數(shù)之間輸出的不同
$input = '<script>alert(1);</script>';
echo htmlspecialchars($input) . '<br />';
echo htmlentities($input);
?>
htmlentities()的另一個(gè)例子
php code:
<?php
$str = "a 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ent_quotes);
?>
先進(jìn)個(gè)顯示: a 'quote' is <b>bold</b>
第二個(gè)顯示:a 'quote' is <b>bold</b>
htmlspecialchars()使用實(shí)例
php code:
<?php
$new = htmlspecialchars("<a href='test'>test</a>", ent_quotes);
echo $new;
?>
顯示: <a href='test'>test</a>
strip_tags()函數(shù)代替.刪除所有的html元素(elements),除了需要特別允許的元素之外���,如:<i>, <b> 或<p>.
strip_tags()使用實(shí)例
php code:
<?php
$text = '<p>test paragraph.</p><!-- comment --> other text';
echo strip_tags($text);
echo "n";
// allow <p>
echo strip_tags($text, '<p>');
?>
現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了��,當(dāng)我們發(fā)現(xiàn)我們的站點(diǎn)存在xss漏洞時(shí)就可以使用這些代碼了�����。我近在我的站點(diǎn)上的googlebig(一個(gè)mybb論壇的插件)視頻部分發(fā)現(xiàn)了一個(gè)xss漏洞���,因此我就在想如何使用這些函數(shù)寫(xiě)段代碼來(lái)修補(bǔ)這個(gè)搜索漏洞。
www.qifanweb.com
首先我發(fā)現(xiàn)問(wèn)題出在search.php這一文件上��,現(xiàn)在讓我們看看這個(gè)查詢及輸出查詢結(jié)果中的部分代碼研究一下:
php code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query); $query = fixquotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在這種情況下�����,我們通過(guò)使用$query這一值作為變量�����,然后使用htmlentities()這一函數(shù):
php code:
$query = fixquotes(nl2br(filter_text(htmlentities($query))));
