码迷,mamicode.com
首页 > Web开发 > 详细

htmlspecialchars() 函数过滤XSS的问题

时间:2018-02-18 15:58:07      阅读:243      评论:0      收藏:0      [点我收藏+]

标签:cte   enc   字符转换   pos   gpo   csdn   inpu   get   就是   

 htmlspecialchars()函数的功能如下:

 

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ‘ (单引号)成为 ‘
  • < (小于)成为 <
  • > (大于)成为 >
 
它的语法如下:
htmlspecialchars(string,flags,character-set,double_encode)

    其中第二个参数flags需要重要注意,很多开发者就是因为没有注意到这个参数导致使用htmlspecialchars()函数过滤XSS时被绕过。因为flags参数对于引号的编码如下:

 

可用的引号类型:

  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。
默认是只编码双引号的!默认只编码双引号!默认只编码双引号……重要的事情说三遍!!!
 
        于是看下面的代码:
  
<?php   
    $name = $_GET["name"];  
    $name = htmlspecialchars($name);  
?>  
  
<input type=‘text‘ value=‘<?php echo $name?>‘>  

  

        轻松绕过:
 
技术分享图片
 
    加上ENT_QUOTES参数:
  
<?php   
    $name = $_GET["name"];  
    $name = htmlspecialchars($name, ENT_QUOTES);  
?>  
  
<input type=‘text‘ value=‘<?php echo $name?>‘>  

  

        发现无法绕过了:
技术分享图片
查看源代码:
技术分享图片

单引号已经被转换了。

htmlspecialchars() 函数过滤XSS的问题

标签:cte   enc   字符转换   pos   gpo   csdn   inpu   get   就是   

原文地址:https://www.cnblogs.com/JeromeZ/p/8452819.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!