漏洞可能存在的点:
个人认为处理XSS漏洞很重要的一个点就是绕过(可以通过闭合标签、添加双引号等等),无论是去利用漏洞还是修复漏洞,都必须注意
strip_tags()函数可以从字符串中去除HTML和PHP标记,可以用来修复XSS漏洞,但比较暴力,可能会去除一些富文本的格式,如标题、加粗等等
stmlspecialchars()函数可以将一些特殊字符转换为html实体,可以防止绕过,也可以用来修复XSS漏洞
反射型:搜索框是最可能被注入XSS的地方代码,可以先在搜索栏中输入任意字符,再在源代码中找到对应标签进行绕过。多注意url
存储型:任何可以输入文本的地方都有可能被注入XSS代码
DOM型:与反射型XSS不同的是,DOM型XSS代码不会经过后端,而是由浏览器直接解析再执行