htmlspecialchars() 函数过滤XSS的问题

htmlspecialchars()函数的功能如下：

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是：

它的语法如下：

htmlspecialchars(string,flags,character-set,double_encode)

其中第二个参数flags需要重要注意，很多开发者就是因为没有注意到这个参数导致使用htmlspecialchars()函数过滤XSS时被绕过。因为flags参数对于引号的编码如下：

可用的引号类型：

默认是只编码双引号的！默认只编码双引号！默认只编码双引号……重要的事情说三遍！！！

于是看下面的代码：

<?php   $name = $_GET["name"];  $name = htmlspecialchars($name);  
?>  <input type='text' value='<?php echo $name?>'>

轻松绕过：

加上ENT_QUOTES参数：

<?php   $name = $_GET["name"];  $name = htmlspecialchars($name, ENT_QUOTES);  
?>  <input type='text' value='<?php echo $name?>'>

发现无法绕过了：

查看源代码：

单引号已经被转换了。

转载于:https://www.cnblogs.com/JeromeZ/p/8452819.html

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/539416.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！