【发布时间】:2010-01-16 14:20:18
【问题描述】:
平台: PHP & mySQL
出于实验目的,我自己在自己的网站上尝试了一些 XSS 注入。考虑一下我有表单文本区域输入的这种情况。由于这是一个文本区域,我可以输入文本和各种(英文)字符。以下是我的观察:
A)。如果我只应用 strip_tags 和 mysql_real_escape_string 并且在将数据插入数据库之前在我的输入中不使用 htmlentities,查询正在中断,我会遇到显示我的表结构的错误,因为异常终止。
B)。如果我在将数据插入数据库之前对我的输入应用 strip_tags、mysql_real_escape_string 和 htmlentities,查询不会中断,并且我能够成功地将来自 textarea 的数据插入到我的数据库中。
所以我明白必须不惜一切代价使用 htmentities,但不确定何时应该使用它。考虑到上述情况,我想知道:
什么时候应该使用 htmlentities?应该在将数据插入数据库之前使用它还是以某种方式将数据放入数据库,然后在我尝试显示来自数据库的数据时应用 htmlentities?
如果我按照上面 B) 点中描述的方法(我认为这是我的案例中最明显和最有效的解决方案),当我尝试显示来自D B?如果是这样,为什么?如果不是,为什么不呢?我之所以这么问,是因为在我浏览了http://shiflett.org/blog/2005/dec/google-xss-example
的帖子后,我真的很困惑
还有一个 PHP 函数,称为:html_entity_decode。当 htmlentities 应用于我的输入时,我可以使用它来显示来自 DB 的数据(在按照 B 点所示的程序进行操作之后)吗?我应该更喜欢哪一个:html_entity_decode 和 htmlentities 以及何时?
预览页面:
我认为在这里添加一些特定情况的更具体细节可能会有所帮助。考虑有一个“预览”页面。现在,当我从 textarea 提交输入时,预览页面会接收输入并将其显示为 html,同时隐藏的输入会收集此输入。当点击预览按钮上的提交按钮时,来自隐藏输入的数据被 POST'ed 到一个新页面,并且该页面将隐藏输入中包含的数据插入到数据库中。如果我在最初提交表单时不应用 htmlentities(但仅应用 strip_tags 和 mysql_real_escape_string)并且在 textarea 中存在恶意输入,则隐藏输入被破坏并且隐藏输入的最后几个字符明显显示为 " /> on页面,这是不可取的。所以记住这一点,我需要做一些事情来正确地在预览页面上保持隐藏输入的完整性,同时收集隐藏输入中的数据,这样它就不会破坏它。我该怎么做?对于延迟发布此信息表示歉意。
提前谢谢你。
【问题讨论】:
-
提示:大多数时候,您不应该使用 htmlentities,而应该使用 htmlspecialchars。 htmlentities 转换大量字符,而 htmlspecialchars 只转换必须转换的字符。
-
@Michael Madsen:感谢您的提示。该表单接受您可以使用基于美国的键盘键入的所有输入。所以我有一个想法,使用 htmlentities 会更安全,以防有人试图从其他网站或他们自己的本地系统手动复制和粘贴一些奇怪的字符。所以我选择使用 htmlentities。你怎么看?
-
没有意义。是的,奇怪的字符可能看起来……嗯,在您的网站上很奇怪。但是您并不能通过使用 htmlentities 来避免这种情况,因为实体只是表示同一字符的不同方式。它们在 HTML 中没有任何特殊含义,因此翻译它们没有任何优势 - 最终结果看起来相同,只是使用更多字节来显示。
-
啊,我明白了!非常感谢并感谢您的解释。