黑客通过提交值更改主页如何防止这种情况？

Question

我正在尝试为我的学校制作一个网站，而我刚刚从基础开始到测试
我们网站的安全性，据观察，在从那里获取此输出的同时
如果我们输入 Name: ../ 和 Information : (any html code) 则它​​会更改该页面
到注入的那个html代码中。有什么解决方案可以防止这种情况 问题让我有更高的安全性。HTML 代码是

<html>
<head>
<title>Submit your form</title>
</head>
<body bgcolor="Black" text="#FFFFFF" link="#FFF833" vlink="#FFF833">
<center><table width=600 cellspacing=0 cellpadding=0 align="center"><tr><td>
<font face="verdana" size=2><b>Use this form to submit your information to the website.<br /><Br>Note:Information will be stored online immediately but will not be listed on the main page until it has a chance to be looked at.<br /><br />
<form action="submit.php" method="post">Name:<br />
<input type="text" name="name">
<br /><br />Information<br /><textarea rows=15 cols=40 name="text"></textarea>
<br /><br /><input type="submit" value="add text"></form></font>
</b></td></tr></table>
</center>
</body>
</html>

Answer 1

正如我已经说过两次，这完全取决于您如何保存此用户输入...等等，现在是三倍 XD

我猜你的代码是：

file_put_contents("submissions/".$_POST['name']."/index.html", $_POST['text']);

但如果$_POST['name'] 是../，那么您将他们的提交保存到submissions/..//index.html...换句话说，您正在覆盖网站的主页！通过允许$_POST['text'] 被丢弃在那里没有安全保障，任何人都可以为所欲为。

相反，您应该将这些提交的内容保存到数据库中，通过 ID 号引用它们，并使用 htmlspecialchars 之类的东西来防止输入的 HTML 被处理。

Answer 2

您需要为输入的每个字段添加一些过滤器，因为如果您不这样做，那么 XSS（跨站点脚本）的机会就会增加，因此无论您是从用户那里获取输入假设 usernamd 、 password 、 email-ids 等总是检查字段是否必须包含 html 标签，特别是 JAVA SCRIPT 标签。如果您允许输入带有 JAVA 脚本标签，则会发生会话劫持，因此请在午餐前检查最终域和主机上的所有内容。祝你好运