Ⅰ [严重]Dedecms recommend.php title XSS漏洞怎么修复
核心文件comm.php最新版本有过滤函数,也可以直接删除了这个recommend.php文件,对主站程序没有多大影响,一个xss而已~
Ⅱ 网站xss高危处理
这不是。。discuz站点?
如果这的确是discuz的系统的话,去discuz官网下载最新版即可,discuz的更新效率版还是比较高的,漏洞权也比较少
如果是自己写的话,不妨对传入变量做一下过滤处理
用str_replace对<、>、'、"这几个符号进行转译,xss一般就不会生效了
Ⅲ xss攻击可以用其他脚本语言吗比如PHP
xss针对前端,后端如果没进行过滤的话前端照样输出造成了XSS攻击
Ⅳ 如何在php中修补XSS漏洞
部分代码研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $mole_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
原文出自【比特网专】,转载请属保留原文链接:http://sec.chinabyte.com/315/12518815.shtml
Ⅳ php xss防护代码
举个例子过抄滤袭 $_POST['name']
<?php
if (isset($_POST['name'])){
$str = trim($_POST['name']); //清理空格
$str = strip_tags($str); //过滤html标签
$str = htmlspecialchars($str); //将字符内容转化为html实体
$str = addslashes($str);
echo $str;
}
?>
Ⅵ 求教ThinkPHP 有自带的防止XSS的代码么
你好,据我所知,ThinkPHP并没有自带的防止XSS的代码.不过,在PHP上,要想防止XSS,其实很简单,只需要调用一个函数即可版:htmlspecialchars()
在你的要求输入权字符的位置,调用htmlspecialchars()函数即可.
希望我的回答能够对你有所帮助.
Ⅶ phpmyadmin error.php xss漏洞怎么解决
phpMyAdmin是用PHP编写的工具,复用于通过WEB管理制MySQL。
phpMyAdmin实现上存在漏洞,攻击者可利用此漏洞执行欺骗操作。
此漏洞源于通过"type"和"error"参数发送给error.php的输入未正确验证即开始使用,导致在受影响的站点的用户浏览器会话中呈现受限的HTML内容,执行欺骗攻击。
Ⅷ php下怎样防止XSS攻击
在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的"<"与">"符号转换成"<" 与">;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。
PHP Code:
<?
// 这里的代码主要用于展示这两个函数之间输出的不同
$input = '<script>alert(1);</script>';
echo htmlspecialchars($input) . '<br />';
echo htmlentities($input);
?>
htmlentities()的另一个例子
PHP Code:
<?php
$str = "A 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
第一个显示: A 'quote' is <b>bold</b>
第二个显示:A 'quote' is <b>bold</b>
htmlspecialchars()使用实例
PHP Code:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new;
?>
显示: <a href='test'>Test</a>
strip_tags()函数代替.删除所有的HTML元素(elements),除了需要特别允许的元素之外,如:<i>, <b> 或<p>.
strip_tags()使用实例
PHP Code:
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> Other text';
echo strip_tags($text);
echo "\n";
// allow <p>
echo strip_tags($text, '<p>');
?>
现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $mole_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...
在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:
PHP Code:
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
如果你对这三种函数还有有疑问可以使用PHP手册来查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
Ⅸ 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞
使用php安全模式复
服务器要做制好管理,账号权限是否合理。
假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤
防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请求伪造。
文件上传,检查是否做好效验,要注意上传文件存储目录权限。
防御SQL注入。
1.使用预编译语句
2.使用安全的存储过程
3.检查输入数据的数据类型
4.从数据库自身的角度考虑,应该使用最小权限原则,不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库,也应该为数据库分配不同的账户。web应用使用的数据库账户,不应该有创建自定义函数,操作本地文件的权限。
1.假定所有用户输入都是“邪恶”的
2.考虑周全的正则表达式
3.为cookie设置HttpOnly,防止cookie劫持
4.外部js不一定可靠
5.出去不必要的HTML注释
6. 针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数。
Ⅹ 修复php漏洞xss改那个文件
方案一:
避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多内语言都有容提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤:
PHP的htmlentities()或是htmlspecialchars()。
Python 的 cgi.escape()。
ASP 的 Server.HTMLEncode()。
ASP.NET 的 Server.HtmlEncode() 或功能更强的 Microsoft Anti-Cross Site Scripting Library
Java 的 xssprotect(Open Source Library)。
Node.js 的 node-validator。
方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )