我创建了一款名为Staroids的游戏。我只想让用户输入纯文本作为名称。
我已经创建了验证客户端(在JavaScript中),但我知道很多XSS的朋友在几分钟内成功入侵了排行榜,并告诉我查看HTML Purify以使其更安全。
我已经阅读了安装过程并完成了它所说的内容,但是当我现在运行游戏然后提交分数时,它会清空名称字段并提交一个空白名称。
这是我的PHP代码:
<?php
require_once 'htmlpurifier/library/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);
$seconds = $_POST['seconds'];
$kills = $_POST['kills'];
$deaths = $_POST['deaths'];
$wave = $_POST['wave'];
$score = $_POST['score'];
$name = mysql_real_escape_string($_POST['name']);
$hash = $_POST['hash'];
$date = $_POST['date'];
$time = $_POST['time'];
$timezone = $_POST['timezone'];
$userdata = $_POST['userdata'];
$display = $_POST['display'];
mysql_connect("localhost", "root", "password");
mysql_select_db("staroids");
mysql_query("INSERT INTO scores (seconds, kills, deaths, wave, score, name, hash, date, time, timezone, userdata, display) VALUES ('$seconds', '$kills', '$deaths', '$wave', '$score', '$name', '$hash', '$date', '$time', '$timezone', '$userdata', '$display')");
mysql_close($connect);
?>
我从HTML页面抓取名称变量,这就是我想要验证/净化以阻止使用XSS攻击排行榜的用户。
答案 0 :(得分:3)
$ dirty_html是一个字符串或一个字符串数组,你可以创建一个名为$ dirty_html的数据数组。
<?php
require_once 'htmlpurifier/library/HTMLPurifier.auto.php';
$dirty_html = array('seconds' => $_POST['seconds'], 'kills' => $_POST['kills'],'deaths' =>$_POST['deaths'],'wave' => $_POST['wave'],
'score' => $_POST['score'],'name' => mysql_real_escape_string($_POST['name']),'hash' => $_POST['hash'],
'date' => $_POST['date'],'time' => $_POST['time'], 'timezone' => $_POST['timezone'], 'userdata' => $_POST['userdata'],
display => $_POST['display']);
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);
print_r($clean_html);
?>
注意我没有测试过代码。