目录介绍:
- 1、[严重]Dedecms recommend.php title XSS漏洞怎么修复
- 2、如何在php中修补XSS漏洞
- 3、如何实现php的安全最大化?怎样避免sql注入漏洞和xss跨站脚本攻击漏洞
- 4、修复php漏洞xss改那个文件
- 5、phpmyadmin error.php xss漏洞怎么解决
[严重]Dedecms recommend.php title XSS漏洞怎么修复
核心文件comm.php最新版本有过滤函数,也可以直接删除了这个recommend.php文件,对主站程序没有多大影响,一个xss而已~
如何在php中修补XSS漏洞
你好,如果要修补xss漏洞,通用的一个做法是使用htmlspecialchars()函数。
使用该函数大概可以预防90%左右的xss左右的攻击,避免你的PHP程序受到攻击。
如何实现php的安全最大化?怎样避免sql注入漏洞和xss跨站脚本攻击漏洞
使用php安全模式
服务器要做好管理,账号权限是否合理。
假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤
防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请求伪造。
文件上传,检查是否做好效验,要注意上传文件存储目录权限。
防御SQL注入。
避免SQL注入漏洞
1.使用预编译语句
2.使用安全的存储过程
3.检查输入数据的数据类型
4.从数据库自身的角度考虑,应该使用最小权限原则,不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库,也应该为数据库分配不同的账户。web应用使用的数据库账户,不应该有创建自定义函数,操作本地文件的权限。
避免XSS跨站脚本攻击
1.假定所有用户输入都是“邪恶”的
2.考虑周全的正则表达式
3.为cookie设置HttpOnly,防止cookie劫持
4.外部js不一定可靠
5.出去不必要的HTML注释
6. 针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数。
修复php漏洞xss改那个文件
?php
$aa=$_GET['dd'];
echo $aa."123";//这里没有经过过滤就可以显示出来,导致的
?
过滤原理:
首先要想执行js脚本那就让html解析那些是js脚本,诸如:
script type="text/javascript"alert("这里会被js执行");/script
所以要过滤script标签和/script
或者过滤‘’和‘’这两个符号
实现:
?php
$aa=$_GET['dd'];
$aa=str_replace('','lt;',$aa);
$aa=str_replace('','gt;',$aa);//以上两句是直接过滤''和''缺点其他便签不能用
/*定向过滤script*/
/*
$aa=str_replace('script','lt;scriptgt;',$aa);
$aa=str_replace('/script','lt;/scriptgt;',$aa);
*/
echo $aa."123";//这里没有经过过滤就可以显示出来,导致的
?
总的来说就是过滤些"非法"标签
phpmyadmin error.php xss漏洞怎么解决
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin实现上存在漏洞,攻击者可利用此漏洞执行欺骗操作。
此漏洞源于通过"type"和"error"参数发送给error.php的输入未正确验证即开始使用,导致在受影响的站点的用户浏览器会话中呈现受限的HTML内容,执行欺骗攻击。
网友评论
最新评论
/*定向过滤script*//*$aa=str_replace('script','lt;scriptgt;',$aa);$aa=str_replace('/scr
MyAdmin实现上存在漏洞,攻击者可利用此漏洞执行欺骗操作。此漏洞源于通过"type"和"error"参数发送给error.php的输入未正确验证即开始使用,导致在受影响的站点的用户浏览器会话中呈现受限的HTML内容,执行欺骗攻击。
23";//这里没有经过过滤就可以显示出来,导致的?总的来说就是过滤些"非法"标签phpmyadmin error.php xss漏洞怎么解决phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。 phpMyAdmin实现上存在漏洞,攻击者可利用此漏洞执行欺骗操作