Rumah  >  Artikel  >  php教程  >  Fl里新增PHP模版的XSS自动修复功能

Fl里新增PHP模版的XSS自动修复功能

WBOY
WBOYasal
2016-06-06 20:10:571133semak imbas

之前Fl里有Smarty模版的XSS自动修复功能,但一直没有PHP模版的支持。主要是Smarty模版识别变量输出比较简单,判断是否是$打头,并且里面没有赋值之类的操作就可以了。 但PHP模版就非常麻烦了,PHP定界符之间可以写任何的PHP代码,不知道什么时候会进行输出。

之前Fl里有Smarty模版的XSS自动修复功能,但一直没有PHP模版的支持。主要是Smarty模版识别变量输出比较简单,判断是否是$打头,并且里面没有赋值之类的操作就可以了。

但PHP模版就非常麻烦了,PHP定界符之间可以写任何的PHP代码,不知道什么时候会进行输出。即使使用echo进行输出,echo后面也可以接很多东西,字符串、变量、表达式、函数调用等等,如:

这种情况下,之前一直没有解决这个问题的思路。如果为了这个功能去实现PHP的词法分析功能,就太麻烦了。

猛然间发现了PHP里提供了词法分析是方法,token_get_all函数(这个函数很早就有了)。

将PHP文本传入该函数后,就可以得到TOKEN列表。具体可以见PHP的官方文档:http://php.net/manual/en/function.token-get-all.php

有了这个方法就好办了,拿到token列表,寻找echo的TOKEN,到;或者?>结束,判断是否已经有了对应的转义方式或者标识为不转义,如果没有则加上对应的转义方式(PHP下都是使用函数来转义的)。

代码实现不是很复杂,具体见github上的项目文件:https://github.com/welefen/Fl/blob/master/src/Util/Tpl/PHP.class.php

ps: php虽然函数名和参数设计上有很多问题,但函数真实非常多。或者功能都有对应的函数

其实浏览器也可以把类似的接口暴漏给JS,这样很多工具都不用在实现一遍词法分析了。

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn