tp5之xss攻击

1.什么叫做xss攻击

xss攻击:跨站脚本攻击(攻击者网web里面插入恶意的script代码,用户浏览的时候script代码就会执行,会恶意攻击用户)
如果我们不放在xss攻击
攻击者在商品名称新增输入框,输入如下的script代码

tp5之xss攻击

 

其他用户在进入商品列表展示页面的时候,就会看见这个弹窗

妨碍用户访问网页

tp5之xss攻击

 

 

2.防范xss攻击

(1)使用htmlspecialchars函数

将用户输入的特殊字符<>,转化为html实体字符
在application\config.php中设置默认全局过滤方法

tp5之xss攻击

 

 

尝试着攻击一下插入script代码,此时看你的内容展示页面

 

tp5之xss攻击

 

 内容类似于这个样子,但是他没有弹窗

存入数据表的话,script标签的尖括号会转为实体字符

 

tp5之xss攻击

上一篇:用xpath、bs4、re爬取B站python数据


下一篇:C# Regex正则常用方法的使用