提交下图的留言

§

§

 

浏览此留言的时候会执行 js 脚本

 

插入 <script>while(1){windows.open();}</script> 无限弹框

插入<script>location.href="http://www.sectop.com";</script> 跳转钓鱼页面

或者使用其他自行构造的 js 代码进行攻击

防范的方法

一般使用 htmlspecialchars 函数来将特殊字符转换成 HTML 编码

函数原型

string htmlspecialchars (string string, int quote_style, string charset)

string 

 

是要编码的字符串

quote_style 可选,值可为 ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES，默认值

ENT_COMPAT，表示只转换双引号不转换单引号。ENT_QUOTES，表示双引号和单引号

都要转换。ENT_NOQUOTES

 

，表示双引号和单引号都不转换

charset 可选,表示使用的字符集

函数会将下列特殊字符转换成 html 编码:

& —-> &

" —-> "

‘ —-> ‘

< —-> <