黑客365

首页 » 技巧分享 » 阅读文章

xss注入应对办法

2012-01-05 17:49 2863 0 发表评论

php中的htmlspecialchars () 这个函数,会把 htmlspecialchars() 函数把一些预定义的字符转换为HTML 实体。

预定义的字符是:

& (和号) 成为&
” (双引号) 成为"
‘ (单引号) 成为'
< (小于) 成为&lt;
> (大于) 成为&gt;

一旦,<script> 变成了&lt;script 这种格式,那这个js就不会被执行了

mysql防止注入 :

if (get_magic_quotes_gpc()) {

$name = stripslashes($name); // stripslashes () 用于清理从数据库或其它地方,获取的数据中。由addshashes 添加的” “

  }else{

  $name = mysql_real_escape_string($name); // mysql_real_escape_string () 主要是对’ 和” 进行转义

  }

php中的htmlspecialchars () 这个函数,会把

htmlspecialchars() 函数把一些预定义的字符转换为HTML 实体。

预定义的字符是:

& (和号) 成为&amp;
” (双引号) 成为&quot;
‘ (单引号) 成为&#039;
< (小于) 成为&lt;
> (大于) 成为&gt;
一旦,<script> 变成了&lt;script 这种格式,那这个js就不会被执行了
mysql防止注入 :

if (get_magic_quotes_gpc()) {

  $name = stripslashes($name); // stripslashes () 用于清理从数据库或其它地方,获取的数据中。由addshashes 添加的” “

  }else{

  $name = mysql_real_escape_string($name); // mysql_real_escape_string () 主要是对’ 和” 进行转义

  }

另外,mysql同一个查询里,不能执行两条语句。 比如mysql_query(‘select * from table1;drop table b;’); 这样是不行的


收藏此文



评论 共0条 (RSS 2.0) 发表评论

  1. 暂无评论,快抢沙发吧。

发表评论

  • 使用新浪微博登陆
  • 
    疑问 冷笑 悲伤 坏蛋 感叹 微笑 脸红 大笑 吃惊 惊讶 困惑 酷 大声笑 恼火 古怪 转眼睛 给眼色 好主意 箭头 一般 哭了 绿人
  • want to say:

回到页首