Php 防止xss的筛选器空间和相等字符_Php_Html_Xss

Php 防止xss的筛选器空间和相等字符

php html

Php 防止xss的筛选器空间和相等字符,php,html,xss,Php,Html,Xss,我正试图扫描我的网站，寻找潜在的xss缺陷。我正在使用一个名为“HackTab”的google chrome扩展来进行XSS扫描。在报告中，我得到了以下信息：参数[search]包含潜在的跨站点脚本缺陷在不带引号的HTML属性中。发生错误的原因是空间和 =字符编码不正确用于请求的url为： results.html？search=hTeXz“'=”g7mxZ 缺陷的“证据”是： =hTeXz%22%27%3C%3E%3D+%26quot%3B%26lt%3B%26gt%3Bg7mxZ”

我正试图扫描我的网站，寻找潜在的xss缺陷。我正在使用一个名为“HackTab”的google chrome扩展来进行XSS扫描。在报告中，我得到了以下信息：

参数[search]包含潜在的跨站点脚本缺陷在不带引号的HTML属性中。发生错误的原因是空间和 =字符编码不正确

用于请求的url为：

results.html？search=hTeXz“'=”g7mxZ

缺陷的“证据”是：

=hTeXz%22%27%3C%3E%3D+%26quot%3B%26lt%3B%26gt%3Bg7mxZ”

它发现的缺陷已使用PHP urlencode函数清除

它看起来像是编码的，但可能没有正确的方式，或者你认为我应该忽略这个警告，它是安全编码的吗？

双引号的url编码是

%22

，但它被转换为

%26quot%3B

，因此它被转换为html实体，然后进行url编码。周围的html上下文是什么？它是在url或html元素中吗？我不确定，我找不到它所说的位置，字符串在文档中出现了好几个位置，在链接、分页、搜索中。这是一个搜索结果页面。我希望它是相反的，所以url编码，然后html编码，或者仅html编码。尽管不同的位置可以重新设置要求不同的编码。