Ⅰ [嚴重]Dedecms recommend.php title XSS漏洞怎麼修復
核心文件comm.php最新版本有過濾函數,也可以直接刪除了這個recommend.php文件,對主站程序沒有多大影響,一個xss而已~
Ⅱ 網站xss高危處理
這不是。。discuz站點?
如果這的確是discuz的系統的話,去discuz官網下載最新版即可,discuz的更新效率版還是比較高的,漏洞權也比較少
如果是自己寫的話,不妨對傳入變數做一下過濾處理
用str_replace對<、>、'、"這幾個符號進行轉譯,xss一般就不會生效了
Ⅲ xss攻擊可以用其他腳本語言嗎比如PHP
xss針對前端,後端如果沒進行過濾的話前端照樣輸出造成了XSS攻擊
Ⅳ 如何在php中修補XSS漏洞
部分代碼研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $mole_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
原文出自【比特網專】,轉載請屬保留原文鏈接:http://sec.chinabyte.com/315/12518815.shtml
Ⅳ php xss防護代碼
舉個例子過抄濾襲 $_POST['name']
<?php
if (isset($_POST['name'])){
$str = trim($_POST['name']); //清理空格
$str = strip_tags($str); //過濾html標簽
$str = htmlspecialchars($str); //將字元內容轉化為html實體
$str = addslashes($str);
echo $str;
}
?>
Ⅵ 求教ThinkPHP 有自帶的防止XSS的代碼么
你好,據我所知,ThinkPHP並沒有自帶的防止XSS的代碼.不過,在PHP上,要想防止XSS,其實很簡單,只需要調用一個函數即可版:htmlspecialchars()
在你的要求輸入權字元的位置,調用htmlspecialchars()函數即可.
希望我的回答能夠對你有所幫助.
Ⅶ phpmyadmin error.php xss漏洞怎麼解決
phpMyAdmin是用PHP編寫的工具,復用於通過WEB管理制MySQL。
phpMyAdmin實現上存在漏洞,攻擊者可利用此漏洞執行欺騙操作。
此漏洞源於通過"type"和"error"參數發送給error.php的輸入未正確驗證即開始使用,導致在受影響的站點的用戶瀏覽器會話中呈現受限的HTML內容,執行欺騙攻擊。
Ⅷ php下怎樣防止XSS攻擊
在PHP中修補XSS漏洞,我們可以使用三個PHP函數。
這些函數主要用於清除HTML標志,這樣就沒辦法注入代碼了。使用更多的函數是htmlspecialchars() ,它可以將所有的"<"與">"符號轉換成"<" 與">;"。其它可供選擇的函數還有htmlentities(), 它可以用相應的字元實體(entities)替換掉所有想要替換掉的特徵碼(characters)。
PHP Code:
<?
// 這里的代碼主要用於展示這兩個函數之間輸出的不同
$input = '<script>alert(1);</script>';
echo htmlspecialchars($input) . '<br />';
echo htmlentities($input);
?>
htmlentities()的另一個例子
PHP Code:
<?php
$str = "A 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
第一個顯示: A 'quote' is <b>bold</b>
第二個顯示:A 'quote' is <b>bold</b>
htmlspecialchars()使用實例
PHP Code:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new;
?>
顯示: <a href='test'>Test</a>
strip_tags()函數代替.刪除所有的HTML元素(elements),除了需要特別允許的元素之外,如:<i>, <b> 或<p>.
strip_tags()使用實例
PHP Code:
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> Other text';
echo strip_tags($text);
echo "\n";
// allow <p>
echo strip_tags($text, '<p>');
?>
現在我們至少已經知道有這些函數了,當我們發現我們的站點存在XSS漏洞時就可以使用這些代碼了。我最近在我的站點上的GoogleBig(一個Mybb論壇的插件)視頻部分發現了一個XSS漏洞,因此我就在想如何使用這些函數寫段代碼來修補這個搜索漏洞。
首先我發現問題出在search.php這一文件上,現在讓我們看看這個查詢及輸出查詢結果中的部分代碼研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $mole_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在這種情況下,我們通過使用$query這一值作為變數,然後使用htmlentities()這一函數:
PHP Code:
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
如果你對這三種函數還有有疑問可以使用PHP手冊來查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
Ⅸ 如何實現php的安全最大化怎樣避免sql注入漏洞和xss跨站腳本攻擊漏洞
使用php安全模式復
伺服器要做制好管理,賬號許可權是否合理。
假定所有用戶的輸入都是「惡意」的,防止XSS攻擊,譬如:對用戶的輸入輸出做好必要的過濾
防止CSRF,表單設置隱藏域,post一個隨機字元串到後台,可以有效防止跨站請求偽造。
文件上傳,檢查是否做好效驗,要注意上傳文件存儲目錄許可權。
防禦SQL注入。
1.使用預編譯語句
2.使用安全的存儲過程
3.檢查輸入數據的數據類型
4.從資料庫自身的角度考慮,應該使用最小許可權原則,不可使用root或dbowner的身份連接資料庫。若多個應用使用同一個資料庫,也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶,不應該有創建自定義函數,操作本地文件的許可權。
1.假定所有用戶輸入都是「邪惡」的
2.考慮周全的正則表達式
3.為cookie設置HttpOnly,防止cookie劫持
4.外部js不一定可靠
5.出去不必要的HTML注釋
6. 針對非法的HTML代碼包括單雙引號等,使用htmlspecialchars()函數。
Ⅹ 修復php漏洞xss改那個文件
方案一:
避免XSS的方法之一主要是將用戶所提供的內容輸入輸出進行過濾,許多內語言都有容提供對HTML的過濾:
可以利用下面這些函數對出現xss漏洞的參數進行過濾:
PHP的htmlentities()或是htmlspecialchars()。
Python 的 cgi.escape()。
ASP 的 Server.HTMLEncode()。
ASP.NET 的 Server.HtmlEncode() 或功能更強的 Microsoft Anti-Cross Site Scripting Library
Java 的 xssprotect(Open Source Library)。
Node.js 的 node-validator。
方案二:使用開源的漏洞修復插件。( 需要站長懂得編程並且能夠修改伺服器代碼 )