同样的代码还是很容易理解:
- 先通过mysql_connect()函数来连接mysql
- 然后自己在mysql中建一个XSS_test数据库
- 创建一个XssValue字段来收录一会提交进的恶意代码
- 如果有数据过来,保存到数据库。
下面,我们来实验一下。
在搜索框同样输入我们的XSS代码:
你会发现貌似前台没有显示,但去mysql数据库看已经存储到数据库了,以后任何人去访问某个调用这个数据库的页面都会受影响!
以上就是简单的演示说明,下面我们讲讲防范过滤。
过滤实现:重点对象:
<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、 (加号)
过滤函数:
(1)htmlspecialchars() 函数,用于转义处理在页面上显示的文本。
(2)htmlentities() 函数,用于转义处理在页面上显示的文本。
(3)strip_tags() 函数,过滤掉输入、输出里面的恶意标签。
(4)header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。
(5)urlencode() 函数,用于输出处理字符型参数带入页面链接中。
(6)intval() 函数用于处理数值型参数输出页面中。
好,今天XSS就先介绍到这里了,希望各位一定要认识到网安的重要性!
