考虑我们有一个login.php文件,如下所示:
<?php
$username = $_POST['username'];
$password = $_POST['password'];
// check fields and if they were correct and they are secure against injection attacks anf if there was the username and password
echo '<script> javascript code </script>';
?>
黑客可以使用php攻击攻击简单的XSS代码吗?
答案 0 :(得分:0)
使用php echo或只是一个简单的html文件显示javascript / html之间没有区别。
如果您在“回声”中放置直接表单输入(如帖子),则XSS在您的示例中存在风险:
错误的:
echo '<script> javascript '.$_POST['username'].' code </script>';
更好:
echo '<script> javascript '.aEscapeFuntion($_POST['username']).' code </script>';
有关构建&#39; aEscapeFunction&#39;的更多信息,请参阅this link。