0
我有这样的代码呼应的是,刚刚登录的用户的用户名:输出会议之后,用户输入 - 防止XSS
echo $_SESSION['user']['username']."
我会就在想,如果我改变我的代码到:
echo htmlspecialchars $_SESSION['user']['username']."
我正在保护自己从低级别的XSS至少?
A
回答
1
默认情况下,函数htmlspecialchars不会对单引号(')进行编码,如果您的用户名在HTML属性中或javascript内部回显,则会出现XSS!
例如:
<script>
name='$YOUR_NAME_HERE$';
</script>
我们可以设置用户名 ';警报(' XSS'); // 因此,浏览器将生成的HTML内容是这样
<script>
name='';alert('xss');//';
</script>
我对你的建议是:
echo htmlspecialchars($_SESSION['user']['username'], ENT_QUOTES);
3
这取决于您输出用户名的位置。如果它在html标签之间,是的。如果它在html属性中,则取决于属性。请参阅OWASP XSS预防备忘单。
相关问题
- 1. 输出用户输入 - 防止xss
- 2. 用PHP防止XSS
- 3. 用strip_tags()防止XSS?
- 4. 如何防止select2将用户输入作为标记建议之一
- 5. 防止用户输入一次注销
- 6. 如何防止用户输入?
- 7. 如何防止用户输入小数?
- 8. 如何防止用户输入亵渎?
- 9. CakePHP的防止用户输入URL
- 10. 如何防止用户输入错误的输入?
- 11. C#三元不会输出要么或用户输入后
- 12. 如何逃脱JSON喜欢你逃避输出,以防止XSS
- 13. 防止用户将脚本输入到WordPress后
- 14. PHP防止xss
- 15. angularjs防止XSS攻击
- 16. 停止*作为用户输入输入
- 17. 输出用户输入(CGI)
- 18. 输入/输出用户
- 19. 用户输入和输出
- 20. HTML-Entity转义防止XSS
- 21. 防止更改输入值
- 22. 防止输入型攻击
- 23. 防止Wysiwyg空白输入
- 24. 防止输入错误
- 25. jQuery:防止输入密钥
- 26. 防止Node.js控制台中的输入/输出混合?
- 27. 停止用户输入'char
- 28. XSS预防playframework1.2.4
- 29. 防止篡改用户输入和SQL注入失败
- 30. 防止用户在HTML5输入文本字段中输入非数字
为什么你首先允许支持XSS的字符进入你的用户名? – Amber 2012-04-11 22:17:54