如何在php中修补XSS漏洞

haidong

<p >在PHP中修补XSS漏洞，我们可以使用三个PHP函数。<p >这些函数主要用于清除HTML标志，这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ，它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt；"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体（entities）替换掉所有想要替换掉的特征码（characters）。<p >HP Code:<p ><?<p >// 这里的代码主要用于展示这两个函数之间输出的不同<p >$input = '<script>alert(1);</script>';<p >echo htmlspecialchars($input) . '<br />';<p >echo htmlentities($input);<p >?><p >htmlentities()的另一个例子<p >HP Code:<p ><?php<p >$str = "A 'quote' is <b>bold</b>";<p >echo htmlentities($str);<p >echo htmlentities($str, ENT_QUOTES);<p >?><p >第一个显示： A 'quote' is &lt;b>bold&lt;/b><p >第二个显示：A 'quote' is &lt;b>bold&lt;/b><p >htmlspecialchars()使用实例<p >HP Code:<p ><?php<p >$new = htmlspecialchars("Test", ENT_QUOTES);<p >echo $new;<p >?><p >显示： &lt;a href='test'>Test&lt;/a><p >strip_tags()函数代替.删除所有的HTML元素（elements），除了需要特别允许的元素之外，如：<i>, <b> 或<p>.<p >strip_tags()使用实例<p >HP Code:<p ><?php<p >$text = '<p>Test paragraph.</p><!-- Comment --> Other text';<p >echo strip_tags($text);<p >echo "\n";<p >// allow <p><p >echo strip_tags($text, '<p>');<p >?><p >现在我们至少已经知道有这些函数了，当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig（一个Mybb论坛的插件）视频部分发现了一个XSS漏洞，因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。<p >首先我发现问题出在search.php这一文件上，现在让我们看看这个查询及输出查询结果中的部分代码研究一下：<p >HP Code:<p >function search($query, $page)<p >{<p >    global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;<p >    $option = trim($option);<p >    $query = trim($query);<p >    $query = FixQuotes(nl2br(filter_text($query)));<p >    $db->escape_string($query);<p >    $db->escape_string($option);<p >        alpha_search($query);<p >    ... <p >在这种情况下，我们通过使用$query这一值作为变量，然后使用htmlentities（）这一函数：<p >HP Code:<p >    $query = FixQuotes(nl2br(filter_text(htmlentities($query))));<p >如果你对这三种函数还有有疑问可以使用PHP手册来查看：<p ><u>http://it.php.net/htmlentities</u><p ><u>http://it2.php.net/htmlspecialchars</u><p ><u>http://it2.php.net/strip_tags</u><p ><p align="right"></P><p align="center"></p></p>