我有一个php'搜索'在MySQL数据库中查找请求的数据并打印表的脚本。通过单击图标可以修改或删除此表的每一行。当您单击其中一个图标时,将调用显示显示的javascript函数。
这是一段代码:
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type='image' src='../resources/edit.png' id='edit_" . $user . "' class='edit' onclick=edit_user(\"$user\",\"$name\",\"$surnames\",'$email','$role','$access',\"$center\",'$id') title='Editar'></button>" .
"</td>" .
"<td>" .
"<input type='image' src='../resources/delete.png' id='delete_" . $user . "' class='delete' onclick=delete_user(\"$user\",'$role') title='Eliminar'></button>" .
"</td>
</tr>";
}
这只是我生成的表格的一部分。毕竟,我用json_encode对表进行编码并回显它。回声由ajax函数捕获,该函数对其进行解码(JSON.parse)并将其放入div中。
表格是正确呈现的,一切正常,但我发现如果我有引号,斜杠和其他有意义的字符,我会遇到一些问题。字符串在表中正确显示,因此php没有问题,但生成的javascript不适用于某些字符串。
例如,如果我介绍:
</b>5'"
或:
<b>5'6"</b><br><div
作为用户,当我点击编辑或删除图标时,我在javascript控制台中出现了一些错误:
Uncaught SyntaxError:无效的正则表达式:缺少/ 在参数列表
之后的home.php:1 Uncaught SyntaxError:missing) 参数列表之后的Uncaught SyntaxError:missing)
未捕获的SyntaxError:意外的标记ILLEGAL
我尝试过使用addlash,replace,htmlentites,htmlspecialchars的几种组合......但我找不到合适的。
为了避免任何问题,采用这种方法的正确方法是什么?
谢谢。
编辑:
我已经对此进行了探测,似乎有效:
在php中我使用这个函数:
function javascript_escape($str) {
$new_str = '';
$str_len = strlen($str);
for($i = 0; $i < $str_len; $i++) {
$new_str .= '\\x' . dechex(ord(substr($str, $i, 1)));
}
return $new_str;
}
然后我使用像
这样的东西$('<textarea />').html(user).text()
在javascript中解码字符串。
这对XSS攻击是否安全?
答案 0 :(得分:0)
首先,创建一个HTML安全的数组JSON字符串,然后修改代码以使用如下数据属性:
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$json_str_edit = htmlentities(json_encode(array($row[0], $row[1], $row[2], $row[3], $row[4], $row[5], $row[6], $id)));
$json_str_delete = htmlentities(json_encode(array($row[0], $row[4])));
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/edit.png\" id=\"edit_$user\" class=\"edit\" data-user=\"$json_str_edit\" title=\"Editar\"></button>" .
"</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/delete.png\" id=\"delete_$user\" class=\"delete\" data-user=\"$json_str_delete\" title=\"Eliminar\"></button>" .
"</td>
</tr>";
}
然后创建一个事件监听器来捕获JS中的相关点击事件,如下所示:
function edit_user(user, name, surnames, email, role, access, center, id) {
// `this` will refer to the html element involved in the event
}
function delete_user(user, role) {
// `this` will refer to the html element involved in the event
}
document.addEventListener('click', function(event) {
if(event.target.hasAttribute('data-user')) {
switch(event.target.className) {
case 'edit':
edit_user.apply(event.target, JSON.parse(event.target.dataset.user));
break;
case 'delete':
delete_user.apply(event.target, JSON.parse(event.target.dataset.user));
break;
}
}
}, false);
或者从addEventListener方法中,你可以直接将这个onclick事件监听器直接添加到元素中(在这种情况下我真的认为不重要):
onclick="edit_user.apply(this, JSON.parse(this.dataset.user))"
FYI在脚本中使用单引号更常见的做法是避免必须转义双引号字符。使事情更清洁,更标准化。