清理字符串以避免特殊字符破坏由php生成的javascript

时间:2016-04-20 04:27:49

标签: javascript php special-characters sanitization

我有一个php'搜索'在MySQL数据库中查找请求的数据并打印表的脚本。通过单击图标可以修改或删除此表的每一行。当您单击其中一个图标时,将调用显示显示的javascript函数。

这是一段代码:

      while ($row = mysqli_fetch_row($result)) {
            // Define $id
            $id = $row[7];

            // Sanitize output
            $user = htmlentities($row[0]);
            $name = htmlentities($row[1]);
            $surnames = htmlentities($row[2]);
            $email = htmlentities($row[3]);
            $role = htmlentities($row[4]);
            $access = htmlentities($row[5]);
            $center = htmlentities($row[6]);

            $message .= "<tr>
                    <td>" . $user . "</td>" .
                    "<td>" . $name . "</td>" .
                    "<td>" . $surnames . "</td>" .
                    "<td>" . $email . "</td>" .
                    "<td>" . $role . "</td>" .
                    "<td>" . $access . "</td>" .
                    "<td>" . $center . "</td>" .
                    "<td>" .
                        "<input type='image' src='../resources/edit.png' id='edit_" . $user . "' class='edit' onclick=edit_user(\"$user\",\"$name\",\"$surnames\",'$email','$role','$access',\"$center\",'$id') title='Editar'></button>" . 
                    "</td>" .
                    "<td>" .
                        "<input type='image' src='../resources/delete.png' id='delete_" . $user . "' class='delete' onclick=delete_user(\"$user\",'$role') title='Eliminar'></button>" . 
                    "</td>
                </tr>";
        }

这只是我生成的表格的一部分。毕竟,我用json_encode对表进行编码并回显它。回声由ajax函数捕获,该函数对其进行解码(JSON.parse)并将其放入div中。

表格是正确呈现的,一切正常,但我发现如果我有引号,斜杠和其他有意义的字符,我会遇到一些问题。字符串在表中正确显示,因此php没有问题,但生成的javascript不适用于某些字符串。

例如,如果我介绍:

</b>5'"

或:

<b>5'6"</b><br><div

作为用户,当我点击编辑或删除图标时,我在javascript控制台中出现了一些错误:

Uncaught SyntaxError:无效的正则表达式:缺少/ 在参数列表

之后的home.php:1 Uncaught SyntaxError:missing) 参数列表

之后的

Uncaught SyntaxError:missing)

未捕获的SyntaxError:意外的标记ILLEGAL

我尝试过使用addlash,replace,htmlentites,htmlspecialchars的几种组合......但我找不到合适的。

为了避免任何问题,采用这种方法的正确方法是什么?

谢谢。

编辑:

我已经对此进行了探测,似乎有效:

在php中我使用这个函数:

function javascript_escape($str) {
$new_str = '';

$str_len = strlen($str);
for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . dechex(ord(substr($str, $i, 1)));
}

return $new_str;
}

然后我使用像

这样的东西
$('<textarea />').html(user).text()

在javascript中解码字符串。

这对XSS攻击是否安全?

1 个答案:

答案 0 :(得分:0)

首先,创建一个HTML安全的数组JSON字符串,然后修改代码以使用如下数据属性:

      while ($row = mysqli_fetch_row($result)) {
            // Define $id
            $id = $row[7];

            // Sanitize output
            $user = htmlentities($row[0]);
            $name = htmlentities($row[1]);
            $surnames = htmlentities($row[2]);
            $email = htmlentities($row[3]);
            $role = htmlentities($row[4]);
            $access = htmlentities($row[5]);
            $center = htmlentities($row[6]);

            $json_str_edit = htmlentities(json_encode(array($row[0], $row[1], $row[2], $row[3], $row[4], $row[5], $row[6], $id)));
            $json_str_delete = htmlentities(json_encode(array($row[0], $row[4])));

            $message .= "<tr>
                    <td>" . $user . "</td>" .
                    "<td>" . $name . "</td>" .
                    "<td>" . $surnames . "</td>" .
                    "<td>" . $email . "</td>" .
                    "<td>" . $role . "</td>" .
                    "<td>" . $access . "</td>" .
                    "<td>" . $center . "</td>" .
                    "<td>" .
                        "<input type=\"image\" src=\"../resources/edit.png\" id=\"edit_$user\" class=\"edit\" data-user=\"$json_str_edit\" title=\"Editar\"></button>" . 
                    "</td>" .
                    "<td>" .
                        "<input type=\"image\" src=\"../resources/delete.png\" id=\"delete_$user\" class=\"delete\" data-user=\"$json_str_delete\" title=\"Eliminar\"></button>" . 
                    "</td>
                </tr>";
        }

然后创建一个事件监听器来捕获JS中的相关点击事件,如下所示:

function edit_user(user, name, surnames, email, role, access, center, id) {
    // `this` will refer to the html element involved in the event

    }

function delete_user(user, role) {
    // `this` will refer to the html element involved in the event

    }

document.addEventListener('click', function(event) {
    if(event.target.hasAttribute('data-user')) {
        switch(event.target.className) {
            case 'edit':
                edit_user.apply(event.target, JSON.parse(event.target.dataset.user));
                break;
            case 'delete':
                delete_user.apply(event.target, JSON.parse(event.target.dataset.user));
                break;
            }
        }
    }, false);

或者从addEventListener方法中,你可以直接将这个onclick事件监听器直接添加到元素中(在这种情况下我真的认为不重要):

onclick="edit_user.apply(this, JSON.parse(this.dataset.user))"

FYI在脚本中使用单引号更常见的做法是避免必须转义双引号字符。使事情更清洁,更标准化。