一个人尝试使用此脚本
来利用它http://www.searchr.us/web-search.phtml?search=%22%3E%3Cscript%3Ealert%28String.fromCharCode%2872%29+String.fromCharCode%28105%29%29;%3C/script%3E
我该如何阻止它?
他还说它很容易受到XSS和LPI的攻击......请帮我阻止它。
感谢你,
答案 0 :(得分:6)
您需要对输出的所有用户输入数据进行HTML编码,包括用户的搜索字符串。
为了安全起见,HTML编码所有值并非明确指定为HTML代码。
答案 1 :(得分:4)
快速解决方案是:
<?php echo htmlspecialchars($blah); ?>
而不是
<?php echo $blah; ?>
长期解决方案是阅读一本关于网站安全的书。
答案 2 :(得分:0)
看到这是一个搜索查询字符串,我猜你是直接从查询字符串中提取值并将其重新显示给用户?
“您搜索'某事''返回0结果”
在显示之前,您需要对任何用户输入的数据进行编码。