doujiyun0041 2015-01-17 15:36
浏览 198

在回显变量时防止XSS攻击

I need to prevent from XSS attacks when I echoing variables in PHP.

For example, just assume I have two values from my database, one for username and the other one is email address.

$username
$email

So now I want to prevent from XSS attack when I using these variables in my HTML.

I tried it something like this using htmlspecialchars() - 

<h5>Editing User <?php echo '"<strong>'.htmlspecialchars($username, ENT_QUOTES, 'UTF-8').'"</strong> (<strong>'; echo htmlspecialchars($email, ENT_QUOTES, 'UTF-8').'</strong>)'; ?></h5>

This is rendered HTML from above PHP

<h5>Editing User <strong>test_user</strong> (<strong>example@gmail.com</strong>)</h5>

So, can somebody tell me is this the correct way do I need to go? If not so what is the correct way?

Hope somebody may help me out. Thank you.

  • 写回答

2条回答 默认 最新

  • dt250827 2015-01-17 15:41
    关注

    First of all, the correct way to escape output is htmlentities, not htmlspecialchars.
    Escape ALL output you get from variables, database or user input.
    This is pretty much all you have to do to escape XSS attacks.
    You may also consider using strip_tags where it's appropriate.

    Here you go:

    <h5>
    Editing User <b><?=htmlentities($username)?></b> 
    (<b><?=htmlentities($email)?></b>)
</h5>
    评论

报告相同问题?

  • 如何在PHP回显更新变量 ajax html html5 javascript php
    2016-10-10 20:13
    回答 2 已采纳 You try to do something which is not so easy to implement with the basics of PHP. PHP is once gene
  • 从函数中回显PHP变量宽度:样式 css html php
    2019-04-01 17:36
    回答 3 已采纳 I think you are trying to add dynamic width in the element div with class named inner. According t
  • PHP回显变量的最佳方法[关闭] php
    2015-05-28 18:33
    回答 4 已采纳 I don't think you need 3 queries. One should be fine selecting both values. Queries 2 & 3 are iden
  • XSS攻击
    2022-03-04 22:29
    灰球球的博客 xss原理,绕过方式
  • 如何在动作钩子中回显PHP变量 php
    2015-10-05 19:17
    回答 1 已采纳 The call to print_r() is unnecessary. Assuming that the string "testdomain.com" is stored in $vars
  • 语法错误php代码我无法回显变量 php
    2013-11-04 03:48
    回答 2 已采纳 Short form of the ternary operator ($registro ?: "no-registrado.png") is available since PHP 5.3.
  • php脚本之间回显php变量 php
    2011-10-04 04:01
    回答 2 已采纳 Since it is a string you will need to explode (take apart) at the comma, to create 5 variables. To
  • 漏洞篇(XSS 跨站脚本攻击一)
    2023-04-08 22:20
    whhc的博客 当 web 服务器向浏览器发送 web 页面,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面,他的名字可以记录在 cookie 中。2)、在...
  • PHP / HTML在div中回显变量 php
    2011-07-27 11:32
    回答 4 已采纳 You can't use <?php ... ?> in an echo. Try: echo '<div id="fb-root"></div><f
  • 尝试在PHP回显表单数据出现500错误 html php
    2018-05-20 18:48
    回答 3 已采纳 Use the following:- <!doctype HTML> <html> <head> <meta charset="UTF-8"&g
  • 如何在PHP回显解密数据 php
    2017-12-07 08:30
    回答 2 已采纳 Don't you need to use an alias here? SELECT aes_decrypt(pass, 'k') AS pass_decrypted FROM ... A
  • XSS跨站脚本攻击
    2020-08-12 05:50
    末 初的博客 文章目录同源策略什么是XSS反射型XSS存储型XSSDOM型XSSXSS的防御 同源策略 当我们使用浏览器浏览多个网页的候,浏览器怎样才能判断我们浏览的是同一网页? SOP(Same Origin Policy)同源策略,是一种约定也是浏览器...
  • php在迭代循环回显结果 php
    2014-04-29 04:28
    回答 2 已采纳 PHP buffers the output. If you want to output stuff to the browser immediately you can use the fl
  • xss--跨站脚本攻击
    2022-05-14 17:41
    kcllg的博客 攻击者在网页中嵌入恶意脚本代码(javascript),当用户使用浏览器浏览网页,脚本就会在用户的浏览器上执行,从而达到攻击者目的。 二、原理 本质:可控变量,显示输出变量。代码在对数据进行显示出现的安全问题。...
  • PHP回显的漏洞总结
    2021-11-25 20:11
    Z3eyOnd的博客 在渗透测试过程中,开发不可能每一次都将结果输出到页面上,也就是漏洞无回显的情况,那么在这种情况下,我们可以通过dnslog判断漏洞存在,或者通过起一个python的http服务来判断,方法很多,下面主要进行一些情况的...
  • 25.XSS跨站原理分类和攻击手法
    2022-04-05 22:56
    明月清风~~的博客 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same ...
  • xss漏洞-DVWA跨站攻击盗取用户cookie值
    2020-09-18 23:42
    kaedy.的博客 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
  • xss跳转代码_XSS(跨站脚本攻击)
    2020-11-20 22:43
    weixin_39564831的博客 XSS攻击流程 1、攻击者将恶意代码注入到服务器中 2、用户在没有防备的情况下访问服务器 3、服务器将含有恶意代码的网页响应给客户端 4、在客户端浏览器中触发恶意的JS代码XSS危害 1、盗取各种用户账号 2、窃取用户...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?
  • ¥15 c++头文件不能识别CDialog