PHP -htmlspecialchars

题目:



中文大致翻译:

这个题目的意思并不是让你利用这个漏洞,而是让你修改htmlspecialchars函数的参数,从而达到防止XSS的目的

了解htmlspecialchars函数

网址: https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

主要的是里面的参数
ENT_COMPAT - 默认。仅编码双引号(就是只转义双引号,虽然转义了双引号,但还是容易受到单引号的XSS攻击)
ENT_QUOTES - 编码双引号和单引号(就是单引号、双引号全部转义,可以更好地防止XSS)
ENT_NOQUOTES - 不编码任何引号(不转义任何单双引号,不建议,因为容易受到XSS攻击)
注:

这一个提交栏,在我认为只是用来测试,并无它作用

Payload:

我们构造的Payload如下:


上图就是最后的Payload,考察了我们对htmlspecialchars函数的理解,最重要的是,我认为这一题不是要我们构造Payload进行渗透,而是要求我们改善php代码,达到更有效地防止XSS攻击。

WeChall_PHP-htmlspecialchars相关推荐

  1. htmlspecialchars() improvements in PHP 5.4

    为什么80%的码农都做不了架构师?>>>    There has been lots of buzz about many of the new features in PHP 5 ...

  2. PHP中htmlentities跟htmlspecialchars的区别

    http://php.net/manual/zh/function.htmlspecialchars.php 很多人都以为htmlentities跟htmlspecialchars的功能是一样的,都是 ...

  3. htmlentities()与htmlspecialchars()

    htmlspecialchars()和htmlentities()之间有什么区别? 什么时候应该使用其中一个? #1楼 如果只希望字符串是XML和HTML安全的htmlspecialchars($st ...

  4. PHP的转义函数 htmlspecialchars、strip_tags、addslashes解释

    第一个函数:strip_tags,去掉 HTML 及 PHP 的标记 注意:本函数可去掉字串中包含的任何 HTML 及 PHP 的标记字串.若是字串的 HTML 及 PHP 标签原来就有错,例如少了大 ...

  5. htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

    htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体.语法为:htmlspecialchars(string,quotestyle,character-set). PHP ...

  6. PHP的htmlspecialchars、strip_tags、addslashes解释

    2019独角兽企业重金招聘Python工程师标准>>> 第一个函数:strip_tags,去掉 HTML 及 PHP 的标记 注意:本函数可去掉字串中包含的任何 HTML 及 PHP ...

  7. PHP中htmlentities和htmlspecialchars的区别

    使用函数 htmlentities 后使中文变乱码,以至数据存到数据库全部是乱码.一直以为是MYSQL字符集设置问题,花了两天时间才找到原因.使用htmlspecialchars既可解决问题. 这两个 ...

  8. php ignore special characters,PHP htmlspecialchars() 函數--防注入字符轉義函數

    更多實例 例子 1 把一些預定義的字符轉換為 HTML 實體:<?php $str = "Bill & 'Steve'"; echo htmlspecialchars ...

  9. PHP5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总

    从旧版升级到php5.4,恐怕最麻烦的就是htmlspecialchars这个问题了! 当然,htmlentities也会受影响,不过,对于中文站来说一般用htmlspecialchars比较常见,h ...

  10. php常用过滤htmlspecialchars() 函数把预定义的字符转换为 HTML 实体

    这个函数非常重要,特别是在处理中文字符时,同时开发过程中往往需对写入数据库或读取数据库的数据进行处理. htmlspecialchars(string,flags,character-set,doub ...

最新文章

  1. 分布式内存数据库---Redis数据库之(键)key
  2. Elasticsearch索引原理
  3. SBT模版(Size Balanced Tree)
  4. SAP Fiori问题排查:Why expand does not work for complex note
  5. SQL Server遍历表中记录的2种方法
  6. scala学习手记5 - 元组与多重赋值
  7. 刚进职场的IT前端小白,如何规划自己的未来之路?有哪些发展方向?
  8. WinForm中ComboBox绑定数据的用法
  9. mysql索引和redis比较_聊聊Mysql索引和redis跳表
  10. IT-RS-IPV6-EUI-64
  11. php采集 今日头条链接,火车头按作者采集今日头条全部文章的方法
  12. Unity基本物体和临时对象
  13. rls lms 对比 matlab,自适应均衡器的LMS和RLS两种算法的特性与仿真分析
  14. Librosa音频处理(二)
  15. 数据分析(1)——统计学中的各种分布
  16. 气结、气闭、气郁......百病生于气!
  17. (1)英文分词——波特词干提取算法
  18. Eboot之函数BootloaderMain函数分析
  19. Java基础练习(十二)集合与数组工具类使用,BigDecimal使用,实现二分查找,快速排序
  20. 微信的消息都要经过苹果服务器吗,为什么微信接收消息有延迟?其实是这5个原因,不知道就太可惜了...

热门文章

  1. Tensorflow Serving部署tensorflow、keras模型详解
  2. 工厂设计模式----python版本
  3. Hadoop之HDFS文件操作
  4. spark sql定义RDD、DataFrame与DataSet
  5. node-red教程2 第一条数据流
  6. 十大经典数据挖掘算法:EM
  7. jsp与jsp页面间的值传递与接收
  8. “数据中国”路在何方?答:在“数据中国加速计划”
  9. unity脚本运行顺序具体的解释
  10. Windows Server 2008 R2中的托管服务帐号(MSA)-冯立亮