提交下图的留言
浏览此留言的时候会执行 js 脚本
插入 <script>while(1){windows.open();}</script> 无限弹框
插入<script>location.href="http://www.sectop.com";</script> 跳转钓鱼页面
或者使用其他自行构造的 js 代码进行攻击
防范的方法
一般使用 htmlspecialchars 函数来将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string
是要编码的字符串
quote_style 可选,值可为 ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值
ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES,表示双引号和单引号
都要转换。ENT_NOQUOTES
,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& —-> &
" —-> "
‘ —-> ‘
< —-> <