Fl里新增PHP模版的XSS自动修复功能

之前Fl里有Smarty模版的XSS自动修复功能，但一直没有PHP模版的支持。主要是Smarty模版识别变量输出比较简单，判断是否是$打头，并且里面没有赋值之类的操作就可以了。 但PHP模版就非常麻烦了，PHP定界符之间可以写任何的PHP代码，不知道什么时候会进行输出。

之前Fl里有Smarty模版的XSS自动修复功能，但一直没有PHP模版的支持。主要是Smarty模版识别变量输出比较简单，判断是否是$打头，并且里面没有赋值之类的操作就可以了。

但PHP模版就非常麻烦了，PHP定界符之间可以写任何的PHP代码，不知道什么时候会进行输出。即使使用echo进行输出，echo后面也可以接很多东西，字符串、变量、表达式、函数调用等等，如：

这种情况下，之前一直没有解决这个问题的思路。如果为了这个功能去实现PHP的词法分析功能，就太麻烦了。

猛然间发现了PHP里提供了词法分析是方法，token_get_all函数(这个函数很早就有了)。

将PHP文本传入该函数后，就可以得到TOKEN列表。具体可以见PHP的官方文档：http://php.net/manual/en/function.token-get-all.php

有了这个方法就好办了，拿到token列表，寻找echo的TOKEN，到;或者?>结束，判断是否已经有了对应的转义方式或者标识为不转义，如果没有则加上对应的转义方式(PHP下都是使用函数来转义的)。

代码实现不是很复杂，具体见github上的项目文件：https://github.com/welefen/Fl/blob/master/src/Util/Tpl/PHP.class.php

ps: php虽然函数名和参数设计上有很多问题，但函数真实非常多。或者功能都有对应的函数

其实浏览器也可以把类似的接口暴漏给JS，这样很多工具都不用在实现一遍词法分析了。

原文地址：Fl里新增PHP模版的XSS自动修复功能, 感谢原作者分享。