在PHP中(zhōng)修補XSS漏洞，我(wǒ)們可以使用三個PHP函數。 這些函數主要用于清除HTML标志(zhì)，這樣就沒辦法注入代碼了。使用更多的函數是htmlspecialchars() ，它可以将所有的與符号轉換成 與;。其它可供選擇的函數還有htmlentities(), 它可以用相應的字符實體(tǐ)(entities).

在PHP中(zhōng)修補XSS漏洞，我(wǒ)們可以使用三個PHP函數。

這些函數主要用于清除HTML标志(zhì)，這樣就沒辦法注入代碼了。使用更多的函數是htmlspecialchars() ，它可以将所有的"<"与">"符号轉換成"<" 与">;"。其它可供選擇的函數還有htmlentities(), 它可以用相應的字符實體(tǐ)(entities)替換掉所有想要替換掉的特征碼(characters)。

PHP Code:

// 這裏的代碼主要用于展示這兩個函數之間輸出的不同

$input = '';

echo htmlspecialchars($input) . '

';

echo htmlentities($input);

?>

htmlentities()的另一(yī)個例子

PHP Code:

$str = "A 'quote' is bold";

echo htmlentities($str);

echo htmlentities($str, ENT_QUOTES);

?>

第一(yī)個顯示： A 'quote' is bold

第二個顯示：A 'quote' is bold

htmlspecialchars()使用實例

PHP Code:

$new = htmlspecialchars("Test", ENT_QUOTES);

echo $new;

?>

顯示： Test

strip_tags()函數代替.删除所有的HTML元素(elements)，除了需要特别允許的元素之外(wài)，如：, 或

.

strip_tags()使用實例

PHP Code:

$text = '

Test paragraph.

Other text';

echo strip_tags($text);

echo "n";

// allow

echo strip_tags($text, '

');

?>

現在我(wǒ)們至少已經知(zhī)道有這些函數了，當我(wǒ)們發現我(wǒ)們的站點存在XSS漏洞時就可以使用這些代碼了。我(wǒ)最近在我(wǒ)的站點上的GoogleBig(一(yī)個Mybb論壇的插件)視頻(pín)部分(fēn)發現了一(yī)個XSS漏洞，因此我(wǒ)就在想如何使用這些函數寫段代碼來修補這個搜索漏洞。

首先我(wǒ)發現問題出在search.php這一(yī)文件上，現在讓我(wǒ)們看看這個查詢及輸出查詢結果中(zhōng)的部分(fēn)代碼研究一(yī)下(xià)：

PHP Code:

function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);

$query = FixQuotes(nl2br(filter_text($query)));

$db->escape_string($query);

$db->escape_string($option);

alpha_search($query);

...

在這種情況下(xià)，我(wǒ)們通過使用$query這一(yī)值作爲變量，然後使用htmlentities()這一(yī)函數：

PHP Code:

$query = FixQuotes(nl2br(filter_text(htmlentities($query))));

如果你對這三種函數還有有疑問可以使用PHP手冊來查看：

http://it.php.net/htmlentities

http://it2.php.net/htmlspecialchars

http://it2.php.net/strip_tags