Php 防跨站分析

今天在改bug时，发现同事写的代码里存在跨站漏洞，于是加了个php防跨站函数htmlentities（）。

因为以前也没有认真分析过此函数，翻了下文档，想了解透测点。

Htmlentities() 转化所有适当字符为html实体

函数说明：

string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )

搞gaodaima代码

ring ：为输入需转换的字符

flags ：和htmlspecialchars()一样，第二个参数允许你定义单双引号将做什么。它需要是默认常数ENT_COMPAT的三个参数之一，可以结合第四个ENT_IGNORE

ENT_COMPAT	Will convert double-quotes and leave single-quotes alone.
ENT_QUOTES	Will convert both double and single quotes.
ENT_NOQUOTES	Will leave both double and single quotes unconverted.
ENT_IGNORE	Silently discard invalid code unit sequences instead of returning an empty string. Added in PHP 5.3.0. This is provided for backwards compatibility; avoid using it as it may have security implications.

charset ：与htmlspecialchars()一样，它带有一个可选的第三个参数做为字符集转换，目前，默认ISO-8859-1字符集

支持的字符集列表
字符集	别名	描述
ISO-8859-1	ISO8859-1	西欧，Latin-1
ISO-8859-15	ISO8859-15	西欧，Latin-9。增加欧元符号，法语和芬兰语字母在 Latin-1(ISO-8859-1) 中缺失。
UTF-8		ASCII 兼容的多字节 8 位 Unicode。
cp866	ibm866, 866	DOS 特有的西里尔编码。本字符集在 4.3.2 版本中得到支持。
cp1251	Windows-1251, win-1251, 1251	Windows 特有的西里尔编码。本字符集在 4.3.2 版本中得到支持。
cp1252	Windows-1252, 1252	Windows 特有的西欧编码。
KOI8-R	koi8-ru, koi8r	俄语。本字符集在 4.3.2 版本中得到支持。
BIG5	950	繁体中文，主要用于中国台湾省。
GB2312	936	简体中文，中国国家标准字符集。
BIG5-HKSCS		繁体中文，附带香港扩展的 Big5 字符集。
Shift_JIS	SJIS, 932	日语
EUC-JP	EUCJP	日语

double_encode ：当double_encode为关闭状态，php默认将一切都转换为html实体

返回值

返回已经编码的字符串

html_entity_decode()与htmlentities()为反向函数，一个解码，一个编码。

但是如果出现没有这些字符集呢？那么这个函数就不起作用了。那起不悲剧，于是还是自己再写个函数过滤下吧。

这样的话应该可以多了点安全

搞代码网（gaodaima.com）提供的所有资源部分来自互联网，如果有侵犯您的版权或其他权益，请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected]‍，我们会在看到邮件的第一时间内为您处理，或直接联系QQ：872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接：Php 防跨站分析

Hi，您需要填写昵称和邮箱！