Php 防跨站分析
- WBOY原創
- 2016-06-23 14:30:561054瀏覽
今天在改bug时,发现同事写的代码里存在跨站漏洞,于是加了个php防跨站函数htmlentities()。
因为以前也没有认真分析过此函数,翻了下文档,想了解透测点。
Htmlentities() 转化所有适当字符为html实体
函数说明:
string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )
string :为输入需转换的字符
flags :和htmlspecialchars()一样,第二个参数允许你定义单双引号将做什么。它需要是默认常数ENT_COMPAT的三个参数之一,可以结合第四个ENT_IGNORE
| ENT_COMPAT | Will convert double-quotes and leave single-quotes alone. |
| ENT_QUOTES | Will convert both double and single quotes. |
| ENT_NOQUOTES | Will leave both double and single quotes unconverted. |
| ENT_IGNORE | Silently discard invalid code unit sequences instead of returning an empty string. Added in PHP 5.3.0. This is provided for backwards compatibility; avoid using it as it may have security implications. |
charset :与htmlspecialchars()一样 ,它带有一个可选的第三个参数做为字符集转换,目前,默认ISO-8859-1字符集
| 支持的字符集列表 | ||
| 字符集 | 别名 | 描述 |
| ISO-8859-1 | ISO8859-1 | 西欧,Latin-1 |
| ISO-8859-15 | ISO8859-15 | 西欧,Latin-9。增加欧元符号,法语和芬兰语字母在 Latin-1(ISO-8859-1) 中缺失。 |
| UTF-8 |
| ASCII 兼容的多字节 8 位 Unicode。 |
| cp866 | ibm866, 866 | DOS 特有的西里尔编码。本字符集在 4.3.2 版本中得到支持。 |
| cp1251 | Windows-1251, win-1251, 1251 | Windows 特有的西里尔编码。本字符集在 4.3.2 版本中得到支持。 |
| cp1252 | Windows-1252, 1252 | Windows 特有的西欧编码。 |
| KOI8-R | koi8-ru, koi8r | 俄语。本字符集在 4.3.2 版本中得到支持。 |
| BIG5 | 950 | 繁体中文,主要用于中国台湾省。 |
| GB2312 | 936 | 简体中文,中国国家标准字符集。 |
| BIG5-HKSCS |
| 繁体中文,附带香港扩展的 Big5 字符集。 |
| Shift_JIS | SJIS, 932 | 日语 |
| EUC-JP | EUCJP | 日语 |
double_encode :当double_encode为关闭状态,php默认将一切都转换为html实体
返回值
返回已经编码的字符串
html_entity_decode()与htmlentities()为反向函数,一个解码,一个编码。
但是如果出现没有这些字符集呢?那么这个函数就不起作用了。那起不悲剧,于是还是自己再写个函数过滤下吧。
function inxss($url)
{
$arr = array('http','script','iframe','com','www');//过江的字符,呵,自由发挥吧。最好用正则处理,因为我的是在iframe的跨站,其实只要针对着不让它传入http://。。。这些url进来就行了
foreach($arr as $value)
{
if( strstr($url,$value))
{
exit;
}
else
{
return $url;
}
}
}
$url = htmlentities(inxss($_GET["url"]));双重过虑。呵
这样的话应该可以多了点安全