如何绕过PHP strip_tags函数

时间:2016-10-17 16:04:04

标签: javascript php css xss strip-tags

考虑以下情况。普通用户向网站发布文本评论。

然后

  1. 文本存储在php变量中。
  2. 以变量作为参数调用strip_tags。
  3. 评论显示,保存或其他

    4. 喜欢这样

    <?php 
 $xss='" style="a:b;margin-top:-1000px;margin-left:-100px;width:4000px;height:4000px;display:block;" onmouseover=alert(1); a="';
 $xss=strip_tags($xss);
 print '<input name="123" value="'.$xss.'"/>';
?>

    我的确切问题是:如何在

    时更改$xss字符串 调用

    print '<a href="#">'.$xss.'</a>';而不是
    print '<input name="123" value="'.$xss.'"/>';页面以某种方式执行alert(1)

0 个答案:

没有答案
相关问题
最新问题