Maison développement back-end tutoriel php 360扫描网站揭示有漏洞

360扫描网站揭示有漏洞

Jun 13, 2016 pm 01:17 PM
escape htmlspecialchars request

360扫描网站提示有漏洞

我已经对输入字符串过滤了,但是还会提示。请问如何解决
get_magic_quotes_gpc() ? $_REQUEST['key'] : addslashes($_REQUEST['key']);过滤方法。

search.php?key=Your%20Story%3C/title%3E%3C/head%3E%3Cbody%3E%3Cscript%3Ealert(42873);%3C/sCript%3E

用户输入这个就会在我网站最上面显示网站名称。不解

------解决方案--------------------
Your%20Story%3C/title%3E%3C/head%3E%3Cbody%3E%3Cscript%3Ealert(42873);%3C/sCript%3E
不知道你的这个串是哪里来的

Your Story

<script>alert(42873);</script>

------解决方案--------------------
简单的说,addslashes这个只能过滤单引号,其他字符并不能转义,htmlspecialchars这函数不要忘记使用
------解决方案--------------------
get_magic_quotes_gpc() ? $_REQUEST['key'] : addslashes($_REQUEST['key']);过滤方法。

你这段代码没啊。。。。。

PHP code

function escape($value)
{
    $value = is_array($value) ? array_map('escape',$value):htmlspecialchars(trim($value));
    return get_magic_quotes_gpc()?$value:addslashes($value);
}
$_GET     = array_map('escape', $_GET); 
$_POST     = array_map('escape', $_POST); 
$_COOKIE     = array_map('escape', $_COOKIE); 
$_REQUEST     = array_map('escape', $_REQUEST);
<br><font color="#e78608">------解决方案--------------------</font><br>addslashes是过滤单引号和NULL字符的, 对标签根本无效, 要展示给用户的非文档内容一律htmlspecialchars.
<br><font color="#e78608">------解决方案--------------------</font><br>很明显是你根据用户提交的k拼接JS代码的时候出问题了, 估计你是希望将用户提交的key拼给JS动态展示给用户, 仔细检查JS拼接那里是否使用了htmlspecialchars吧. <div class="clear">
                 
              
              
        
            </div>
Copier après la connexion
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
2 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
Repo: Comment relancer ses coéquipiers
4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: Comment obtenir des graines géantes
4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
Combien de temps faut-il pour battre Split Fiction?
3 Il y a quelques semaines By DDD

Outils chauds

Bloc-notes++7.3.1

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Que signifie la requête php ? Que signifie la requête php ? Jul 07, 2021 pm 01:49 PM

La signification chinoise de request est "request". Il s'agit d'une variable globale en PHP et c'est un tableau contenant "$_POST", "$_GET" et "$_COOKIE". La variable "$_REQUEST" peut obtenir des données et des informations COOKIE soumises par POST ou GET.

Qu'est-ce que l'objet Request en PHP ? Qu'est-ce que l'objet Request en PHP ? Feb 27, 2024 pm 09:06 PM

L'objet Request en PHP est un objet utilisé pour gérer les requêtes HTTP envoyées par le client au serveur. Grâce à l'objet Request, nous pouvons obtenir les informations de demande du client, telles que la méthode de demande, les informations d'en-tête de demande, les paramètres de demande, etc., afin de traiter et de répondre à la demande. En PHP, vous pouvez utiliser des variables globales telles que $_REQUEST, $_GET, $_POST, etc. pour obtenir les informations demandées, mais ces variables ne sont pas des objets, mais des tableaux. Afin de traiter les informations demandées de manière plus flexible et plus pratique, vous pouvez

Comment utiliser la fonction urllib.request.urlopen() pour envoyer une requête GET en Python 3.x Comment utiliser la fonction urllib.request.urlopen() pour envoyer une requête GET en Python 3.x Jul 30, 2023 am 11:28 AM

Comment utiliser la fonction urllib.request.urlopen() dans Python3.x pour envoyer une requête GET En programmation réseau, nous avons souvent besoin d'obtenir des données d'un serveur distant en envoyant une requête HTTP. En Python, nous pouvons utiliser la fonction urllib.request.urlopen() dans le module urllib pour envoyer une requête HTTP et obtenir la réponse renvoyée par le serveur. Cet article explique comment utiliser

Le rôle et l'importance de Request en PHP Le rôle et l'importance de Request en PHP Feb 27, 2024 pm 12:54 PM

Le rôle et l'importance de Request en PHP Dans la programmation PHP, Request est un mécanisme d'envoi de requêtes au serveur Web. Il joue un rôle essentiel dans le développement Web. La requête est principalement utilisée pour obtenir des données envoyées par le client, telles que la soumission d'un formulaire, une requête GET ou POST, etc. Grâce à la requête, les données saisies par l'utilisateur peuvent être obtenues et les données peuvent être traitées et traitées. Cet article présentera le rôle et l'importance de Request en PHP et donnera des exemples de code spécifiques.

Comment encapsuler l'intercepteur Vue3 Axios dans un fichier de requête Comment encapsuler l'intercepteur Vue3 Axios dans un fichier de requête May 19, 2023 am 11:49 AM

1. Créez un nouveau fichier appelé request.js et importez Axios : importaxiosfrom'axios' ; 2. Créez une fonction appelée request et exportez-la : Cela créera une fonction appelée request et l'exportera. Configurez une nouvelle instance Axios avec une URL de base. . Pour ajouter des paramètres de délai d'attente dans une instance Axios encapsulée, vous pouvez transmettre l'option de délai d'attente lors de la création de l'instance Axios. exportconstrequest=axios.create({baseURL:'https://example.

Qu'est-ce qu'une requête en PHP Qu'est-ce qu'une requête en PHP Jun 01, 2023 am 10:12 AM

Request en PHP fait référence à request. Il s'agit d'une variable super globale en PHP. Elle est utilisée pour collecter les données soumises par les formulaires HTML et les paramètres dans les URL. Elle peut obtenir des données à partir des requêtes GET et POST en même temps. un tableau associatif. , où les clés sont les noms des champs du formulaire et les valeurs sont les valeurs des champs du formulaire. Lors de l'utilisation de la variable $_request, les données saisies par l'utilisateur doivent toujours être validées et filtrées pour éviter les problèmes de sécurité.

Explication détaillée de l'utilisation de la fonction htmlspecialchars en PHP Explication détaillée de l'utilisation de la fonction htmlspecialchars en PHP Jun 27, 2023 am 10:54 AM

Explication détaillée de l'utilisation de la fonction htmlspecialchars en PHP Dans le développement Web, il est souvent nécessaire d'afficher certains contenus saisis par l'utilisateur sur la page Web, tels que le contenu d'un article, le contenu d'un commentaire, etc. Cependant, si vous affichez ce contenu directement sur une page web, vous risquez de rencontrer certains problèmes de sécurité. Par exemple, certains utilisateurs peuvent intégrer des scripts malveillants dans les commentaires qui, après avoir été analysés par le navigateur, constitueront une menace pour la sécurité du site Web. Pour éviter que cela ne se produise, nous devons filtrer et

A quoi sert l'évasion en CSS A quoi sert l'évasion en CSS Feb 01, 2023 am 10:15 AM

La syntaxe d'utilisation de l'échappement en CSS est "escapedStr = CSS.escape(str);" ; la méthode statique "CSS.escape()" renvoie une DOMString contenant la chaîne échappée passée en paramètre, qui est principalement utilisée dans le cadre du Sélecteur CSS ; Des exemples de son utilisation sont "document.querySelector('#' + CSS.escape(id) + ' > img');".

See all articles