Php 我的网站易受此脚本攻击。如何修补它?
一个人用这个脚本试图利用它Php 我的网站易受此脚本攻击。如何修补它?,php,javascript,html,Php,Javascript,Html,一个人用这个脚本试图利用它 http://www.searchr.us/web-search.phtml?search=%22%3E%3Cscript%3Ealert%28String.fromCharCode%2872%29+String.fromCharCode%28105%29%29;%3C/script%3E 我该怎么阻止它 他还说它容易受到XSS和LPI的攻击…请帮我阻止它 谢谢,您需要对输出的所有用户输入的数据进行HTML编码,包括用户的搜索字符串 为了安全起见,HTML对所有未明
http://www.searchr.us/web-search.phtml?search=%22%3E%3Cscript%3Ealert%28String.fromCharCode%2872%29+String.fromCharCode%28105%29%29;%3C/script%3E
我该怎么阻止它
他还说它容易受到XSS和LPI的攻击…请帮我阻止它
谢谢,您需要对输出的所有用户输入的数据进行HTML编码,包括用户的搜索字符串
为了安全起见,HTML对所有未明确表示为HTML代码的值进行编码。您需要对输出的所有用户输入的数据(包括用户的搜索字符串)进行HTML编码
为了安全起见,HTML对所有未明确表示为HTML代码的值进行编码。鉴于这是一个搜索查询字符串,我猜您是直接从查询字符串中提取值并重新显示给用户 类似于“您对“某物”的搜索返回0个结果”的内容
在显示任何用户输入的数据之前,您都需要对其进行编码。鉴于这是一个搜索查询字符串,我猜您是直接从查询字符串中提取值并重新显示给用户 类似于“您对“某物”的搜索返回0个结果”的内容
在显示任何用户输入的数据之前,您需要对其进行编码。快速解决方案是:
<?php echo htmlspecialchars($blah); ?>
而不是
<?php echo $blah; ?>
长期的解决方案是阅读一本关于网站安全性的书。快速的解决方案是:
<?php echo htmlspecialchars($blah); ?>
而不是
<?php echo $blah; ?>
长期的解决办法是阅读一本关于网站安全的书。哦,天哪,你不是真的读了吗?@fredley-这就是喜剧黄金,LPI代表什么?@fredley-那甚至没有这样的论坛@布兰登:挑毛病:就个人而言,我认为这个网站可能容易受到赖氨酸蛋白不耐受症的影响哦,天哪,你真的没有吗?@fredley-这就是喜剧黄金,LPI代表什么?@fredley-那甚至没有这样的论坛@布兰登:挑刺:就个人而言,我认为这个网站可能容易受到赖氨酸蛋白不耐症的影响。这正是我正在做的!!那么它安全吗??如何应对?不,这不安全。无论何时显示用户输入的值,都需要对其进行编码。你不能相信他们会输入无害的数据。查看Novikov的答案,了解解决问题的简单方法。耶,这正是我正在做的!!那么它安全吗??如何应对?不,这不安全。无论何时显示用户输入的值,都需要对其进行编码。你不能相信他们会输入无害的数据。请参阅Novikovs答案,了解解决问题的简单方法。