当前位置：首页 > news >正文

如何在php中修补XSS漏洞

news 来源：原创 2024/5/6 19:09:59

文章作者：Langy
译文作者：riusksk
在PHP中修补XSS漏洞，我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志，这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ，它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt；"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体（entities）替换掉所有想要替换掉的特征码（characters）。
PHP Code:

 
<?
 
// 这里的代码主要用于展示这两个函数之间输出的不同
 
$input = '&lt;script&gt;alert(1);&lt;/script&gt;';
 
echo htmlspecialchars($input) . '&lt;br /&gt;';
 
echo htmlentities($input);
 
?>;

htmlentities()的另一个例子
PHP Code:

 
<?php
 
$str = "A 'quote' is &lt;b&gt;bold&lt;/b&gt;";
 
echo htmlentities($str);
 
echo htmlentities($str, ENT_QUOTES);
 
?>;

第一个显示： A 'quote' is &lt;b&gt;bold&lt;/b&gt;
第二个显示：A 'quote' is &lt;b&gt;bold&lt;/b&gt;
htmlspecialchars()使用实例
PHP Code:

 
<?php
 
$new = htmlspecialchars("&lt;a href='test'&gt;Test&lt;/a&gt;", ENT_QUOTES);
 
echo $new;
 
?>;

显示： &lt;a href='test'&gt;Test&lt;/a&gt;
strip_tags()函数代替.删除所有的HTML元素（elements），除了需要特别允许的元素之外，如：<i>, <b> 或<p>.
strip_tags()使用实例
PHP Code:

 
<?php
 
$text = '&lt;p&gt;Test paragraph.&lt;/p&gt;&lt;!-- Comment --&gt; Other text';
 
echo strip_tags($text);
 
echo "\n";
 
// allow &lt;p&gt;
 
echo strip_tags($text, '&lt;p&gt;');
 
?>;

现在我们至少已经知道有这些函数了，当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig（一个Mybb论坛的插件）视频部分发现了一个XSS漏洞，因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上，现在让我们看看这个查询及输出查询结果中的部分代码研究一下：
PHP Code:

 
function search($query, $page)
 
{
 
    global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url,$list_page_items, $hm_index;
 
    $option = trim($option);
 
    $query = trim($query);
 
    $query = FixQuotes(nl2br(filter_text($query)));
 
    $db-&gt;escape_string($query);
 
    $db-&gt;escape_string($option);
 
        alpha_search($query);
 
    ...