假设一些PHP代码,它回显了通过首先应用addslashes()然后htmlspecialchars()到HTML文档来净化的输入。我听说这是一种不安全的方法,但不知道为什么。
任何关于可以将哪种格式应用于危险输入(例如脚本标记中的 JavaScript)以绕过这两个函数施加的安全措施的建议将不胜感激。
addslashes与XSS无关(在它真正有用的地方几乎总是有更好的东西)。
htmlspecialchars不是一种不安全的方法。它本身是不够的。
如果您将内容作为"安全"元素的主体,htmlspecialchars将保护您。
将内容作为"安全"属性的值,如果您也正确引用了该值,它将保护您。
如果您将其作为"不安全"属性或元素(其中内容可能被视为JavaScript)的值,例如<script>,onmoseover,href或style,则不会保护您。
例如:
<!-- http://example.com/my.php?message=", steal_your_cookies(), " -->
<!-- URL not encoded for clarity. Imagine the definition of steel_your_cookies was there too -->
<button onclick='alert("<?php echo htmlspecialchars($_GET['message']); ?>")'>
click me
</button>
会给你:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
这意味着与:
<button onclick='alert("", steal_your_cookies(), "")'>
click me
</button>
当您单击按钮时,这将窃取您的cookie。