所以我为电报机器人编写了这行代码,我想知道是否可以通过向机器人发送特定类型的变量来注入一些代码。
**$this->tgMessage = htmlspecialchars($tgInput["message"]["text"], ENT_QUOTES, 'UTF-8');**
当我这样做时:
**$this->tgMessage = $tgInput["message"]["text"];**
我可以注入我想要的一切,但现在我似乎无法做到。
答案 0 :(得分:1)
如果您只是想摆脱html,请尝试使用strip_tags()。
您正在使用htmlspecialchars(),它也会转发单引号和双引号,这会导致您的问题,因为"); exit();的内容正在发送"); exit();
如果您仍想使用htmlspecialchars,则必须设置" ENT_NOQUOTES" flag,这与ENT_QUOTES(您当前已设置)不同。
ENT_QUOTES会将单引号转换为'(如果已设置)。