这是一个创建于 5133 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://app3c.com/demo/talkman/ 这个是地址.现在完全处于不断更新超初级状态中.
然后首先我给几个朋友看的时候.立马被javascript注入了,最后慌忙找了一下方法,给用str_replace(array('<script'),array('<script'),$text) 暂时防范了javascript注入别的暂时不会弄.朋友发来的XSS建议也看不懂.
PHP真的不算难.我这样的代码苦手也能慢慢的写起东西来了.慢慢的了解了.
写PHP的朋友有没有好建议,安全方面,用法方面的.现在我很想听听你们的建议,对于PHP我实在太out了.
然后首先我给几个朋友看的时候.立马被javascript注入了,最后慌忙找了一下方法,给用str_replace(array('<script'),array('<script'),$text) 暂时防范了javascript注入别的暂时不会弄.朋友发来的XSS建议也看不懂.
PHP真的不算难.我这样的代码苦手也能慢慢的写起东西来了.慢慢的了解了.
写PHP的朋友有没有好建议,安全方面,用法方面的.现在我很想听听你们的建议,对于PHP我实在太out了.
22 条回复 • 1970-01-01 08:00:00 +08:00
 |
1
aligo 2010-10-20 17:55:05 +08:00
用strip_tags
|
 |
2
fanzeyi 2010-10-20 18:17:26 +08:00
应该禁止HTML代码的。。。。。。
我承认width:1%是我写的。。 |
 |
3
lxlenovostar 2010-10-20 18:50:15 +08:00
进去 看不到东西 哦
|
 |
4
flytwokites 2010-10-20 18:50:45 +08:00
@fanzeyi 太狠了,什么也看不到了,只看到中间一道光柱
|
|
5
fanzeyi 2010-10-20 18:53:52 +08:00
@flytwokites 好了 我给删了= =
|
|
6
fanzeyi 2010-10-20 18:56:01 +08:00
然后他就给其他两个删了。。
|
|
7
fanzeyi 2010-10-20 18:56:39 +08:00
其实我估计SQL注入也米有做吧。。。 不过没有试。。 不会。
|
|
8
fanzeyi 2010-10-20 19:00:51 +08:00
现在你看到的状况是我用<!-- --> 来做的。。。
|
|
9
fanzeyi 2010-10-20 19:01:44 +08:00
提供解决方法。。 talk_delete.php?id=58
|
 |
10
Sunyanzi 2010-10-20 19:16:57 +08:00
给你一个小建议 ...
所有需要写数据库的内容在进入 SQL 语句之前使用 mysql_escape_string() 处理一下 ... 我在最开始用 php 的时候通常使用的方式是这样的 ... 比如插入一条记录 ... mysql_unbuffered_query( sprintf( 'INSERT INTO `tablename` ( `text` ) VALUES ( \'%s\' );', mysql_real_escape_string( $_POST['text'] ) ), $conn ); 所有需要显示在页面上面的内容 ... 输出之前用 htmlentities() 处理 ... 在 php 短标签开启的情况下可以用下面的方法在页面内嵌入动态内容 ... <?=htmlentities($rs->text);?> 其中 $rs 是通过 mysql_fetch_object 获得的对象 ... 这两种方式都不是最优的 ... 但是可以有效的避免现在混乱的状况 ... |
 |
12
SolidZORO OP 如果精致htm 这样lstr_replace('<','<',$text) 这样也可以,不过我又想让人用html发图片什么的,这个现在我还暂时没找到解决的办法。所以嘛,就只是 禁用了 <script 之前连这个都没禁用的时候 超夸张的。被不停的跳转。。。
strip_tags我找了一下,要是有demo一个范例就好了。我对那种语法介绍蛮摸不着边的。。 @Sunyanzi 谢谢你的一大串文字,我明天要用这样的方法做一次全面的安全检查。 虽然现在我还不明白你说的是什么意思。 @lianghai 这是我一贯的风格。做的demo简单一点就行。而且tahoma在小字号还不错。当然如果用ms gothic来显示英文也是非常不错的。哈哈。如 |
 |
13
darcy 2010-10-20 19:49:44 +08:00
植入alert成功,麻烦删掉#73
|
 |
15
Sai 2010-10-20 20:21:11 +08:00
抱歉抱歉,顺手把样式改了……
|
 |
17
lamengao 2010-10-20 20:36:13 +08:00
php处理安全问题只要记住两点:对输入进行过滤,对输出进行转义.
|
|
18
SolidZORO OP wii上的全明星大乱斗X玩不了,果然FAMI通满分作品比较难折腾。
哈哈,@Anylei 任意吧。 反正是demo。 大家任意改就是了。如果有闲情的话,我是要看看大家能够改得如何离谱。我后面也好学学。 |
|
20
aligo 2010-10-20 21:29:12 +08:00
A,防止html标签注入被输出,使用strip_tags在输出的时候,对可能被用户输入污染的任何字符串进行转义
B,SQL相当不安全,绝对应该避免直接将任何用户传递上来的(GET,POST)的数据拼接成sql语句,一定至少使用prepare+bindParam方式进行查询,并且尽可能对GET,POST全局变量进行预过滤,最后,干脆别用SQL了,改用nosql数据库 |
|
21
aligo 2010-10-20 21:36:02 +08:00
PS:如果需要保留html tags的显示可以用htmlspecialchars
|
 |
22
chone 2010-10-20 21:55:57 +08:00
插入最新youtube视频 :)
|
Select Language