백엔드 개발 PHP 튜토리얼 360扫描网站揭示有漏洞

360扫描网站揭示有漏洞

Jun 13, 2016 pm 01:17 PM
escape htmlspecialchars request

360扫描网站提示有漏洞

我已经对输入字符串过滤了,但是还会提示。请问如何解决
get_magic_quotes_gpc() ? $_REQUEST['key'] : addslashes($_REQUEST['key']);过滤方法。

search.php?key=Your%20Story%3C/title%3E%3C/head%3E%3Cbody%3E%3Cscript%3Ealert(42873);%3C/sCript%3E

用户输入这个就会在我网站最上面显示网站名称。不解

------解决方案--------------------
Your%20Story%3C/title%3E%3C/head%3E%3Cbody%3E%3Cscript%3Ealert(42873);%3C/sCript%3E
不知道你的这个串是哪里来的

Your Story

<script>alert(42873);</script>

------解决方案--------------------
简单的说,addslashes这个只能过滤单引号,其他字符并不能转义,htmlspecialchars这函数不要忘记使用
------解决方案--------------------
get_magic_quotes_gpc() ? $_REQUEST['key'] : addslashes($_REQUEST['key']);过滤方法。

你这段代码没啊。。。。。

PHP code

function escape($value)
{
    $value = is_array($value) ? array_map('escape',$value):htmlspecialchars(trim($value));
    return get_magic_quotes_gpc()?$value:addslashes($value);
}
$_GET     = array_map('escape', $_GET); 
$_POST     = array_map('escape', $_POST); 
$_COOKIE     = array_map('escape', $_COOKIE); 
$_REQUEST     = array_map('escape', $_REQUEST);
<br><font color="#e78608">------解决方案--------------------</font><br>addslashes是过滤单引号和NULL字符的, 对标签根本无效, 要展示给用户的非文档内容一律htmlspecialchars.
<br><font color="#e78608">------解决方案--------------------</font><br>很明显是你根据用户提交的k拼接JS代码的时候出问题了, 估计你是希望将用户提交的key拼给JS动态展示给用户, 仔细检查JS拼接那里是否使用了htmlspecialchars吧. <div class="clear">
                 
              
              
        
            </div>
로그인 후 복사
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

PHP 요청은 무엇을 의미합니까? PHP 요청은 무엇을 의미합니까? Jul 07, 2021 pm 01:49 PM

요청의 중국어 의미는 "요청"입니다. PHP의 전역 변수이며 "$_POST", "$_GET" 및 "$_COOKIE"를 포함하는 배열입니다. "$_REQUEST" 변수는 POST 또는 GET으로 제출된 데이터 및 COOKIE 정보를 얻을 수 있습니다.

PHP의 요청 객체란 무엇입니까? PHP의 요청 객체란 무엇입니까? Feb 27, 2024 pm 09:06 PM

PHP의 요청 객체는 클라이언트가 서버로 보낸 HTTP 요청을 처리하는 데 사용되는 객체입니다. Request 객체를 통해 요청 메소드, 요청 헤더 정보, 요청 매개변수 등과 같은 클라이언트의 요청 정보를 얻어 요청을 처리하고 응답할 수 있습니다. PHP에서는 $_REQUEST, $_GET, $_POST 등과 같은 전역 변수를 사용하여 요청된 정보를 얻을 수 있지만 이러한 변수는 객체가 아니라 배열입니다. 요청사항을 보다 유연하고 편리하게 처리하기 위해

Python 3.x에서 urllib.request.urlopen() 함수를 사용하여 GET 요청을 보내는 방법 Python 3.x에서 urllib.request.urlopen() 함수를 사용하여 GET 요청을 보내는 방법 Jul 30, 2023 am 11:28 AM

Python3.x에서 urllib.request.urlopen() 함수를 사용하여 GET 요청을 보내는 방법 네트워크 프로그래밍에서는 HTTP 요청을 보내 원격 서버에서 데이터를 가져와야 하는 경우가 많습니다. Python에서는 urllib 모듈의 urllib.request.urlopen() 함수를 사용하여 HTTP 요청을 보내고 서버에서 반환된 응답을 얻을 수 있습니다. 이 기사에서는 사용 방법을 소개합니다.

PHP에서 요청의 역할과 중요성 PHP에서 요청의 역할과 중요성 Feb 27, 2024 pm 12:54 PM

PHP에서 요청의 역할과 중요성 PHP 프로그래밍에서 요청은 웹 서버에 요청을 보내는 메커니즘으로 웹 개발에서 중요한 역할을 합니다. 요청은 주로 양식 제출, GET 또는 POST 요청 등과 같이 클라이언트가 보낸 데이터를 얻는 데 사용됩니다. 요청을 통해 사용자가 입력한 데이터를 얻을 수 있으며 데이터를 처리하고 응답할 수 있습니다. 이 기사에서는 PHP에서 요청의 역할과 중요성을 소개하고 구체적인 코드 예제를 제공합니다.

Vue3 Axios 인터셉터를 요청 파일에 캡슐화하는 방법 Vue3 Axios 인터셉터를 요청 파일에 캡슐화하는 방법 May 19, 2023 am 11:49 AM

1. request.js라는 새 파일을 생성하고 Axios 가져오기: importaxiosfrom'axios' 2. request라는 함수를 생성하고 내보내기: request라는 함수를 생성하고 이를 내보냅니다. 기본 URL을 사용하여 새 Axios 인스턴스를 설정합니다. . 래핑된 Axios 인스턴스에 시간 초과 설정을 추가하려면 Axios 인스턴스를 생성할 때 시간 초과 옵션을 전달할 수 있습니다. 내보내기constrequest=axios.create({baseURL:'https://example.

PHP에서 요청이란 무엇입니까? PHP에서 요청이란 무엇입니까? Jun 01, 2023 am 10:12 AM

PHP의 요청은 요청을 의미하며, HTML 양식과 URL의 매개변수로 제출된 데이터를 수집하는 데 사용됩니다. $_request는 동시에 데이터를 얻을 수 있습니다. 연관 배열. 여기서 키는 양식 필드의 이름이고 값은 양식 필드의 값입니다. $_request 변수를 사용할 때 보안 문제를 방지하려면 사용자가 입력한 데이터를 항상 검증하고 필터링해야 합니다.

PHP의 htmlspecialchars 함수 사용법에 대한 자세한 설명 PHP의 htmlspecialchars 함수 사용법에 대한 자세한 설명 Jun 27, 2023 am 10:54 AM

PHP의 htmlspecialchars 함수 사용법에 대한 자세한 설명 웹 개발에서 기사 내용, 댓글 내용 등과 같이 사용자가 입력한 일부 내용을 웹 페이지에 표시해야 하는 경우가 종종 있습니다. 그러나 이 콘텐츠를 웹페이지에 직접 표시하면 몇 가지 보안 문제가 발생할 수 있습니다. 예를 들어, 일부 사용자는 브라우저에서 구문 분석한 후 웹 사이트에 보안 위협을 가하는 악성 스크립트를 댓글에 포함할 수 있습니다. 이런 일이 발생하지 않도록 필터링하고

CSS에서 이스케이프 사용법은 무엇입니까 CSS에서 이스케이프 사용법은 무엇입니까 Feb 01, 2023 am 10:15 AM

CSS에서 이스케이프를 사용하는 구문은 "escapedStr = CSS.escape(str);"입니다. "CSS.escape()" 정적 메소드는 매개변수로 전달된 이스케이프 문자열을 포함하는 DOMString을 반환합니다. 이는 주로 CSS 선택기; 사용 예는 "document.querySelector('#' + CSS.escape(id) + ' > img');"입니다.

See all articles