欢迎您光临小易传媒工作室博客,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!

emlog模板防止跨站漏洞教程(所有模板作者请务必阅读)

进过我的调查,发现大家贡献很多的模板中都没有对URL中的参数进行必要的过滤,从而给黑客留下跨站攻击的空子。
在这里我举一个典型的例子供大家参考,下面是某个CMS模板输出搜索关键词的代码,

?php }elseif($params[1]=='keyword'){ ?> 关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果

请 注意$params[2]变量没有任何过滤的就直接输出了,而我们可以构造/index.php?keyword=8<img src=1 width=500 height=500 onerror=alert(1)>在页面上运行javascript代码alert(1). 黑客在攻击时可以把alert(1)替换为攻击代码(比如获取访问者的cookie信息)后发给站长。如果站长不小心点了链接,那么黑客就能获取站长登陆 状态的cookie,有了cookie,就能冒充站长登陆站点后台做他想做的任何事情了。

综上所述,为了各位用户的安全着想,请各位模板作者在输出URL参数时使用PHP的htmlspecialchars函数来进行过滤,防止XSS攻击,像上面例子中的代码可以修改为

?php }elseif($params[1]==‘keyword’){ ?> 关键词 <b><?php echo htmlspecialchars(urldecode($params[2]));?></b> 的搜索结果

最后还是要感谢各位模板的作者为emlog的无私付出,希望这篇教程能给大家做出安全好用的模板提供一定的帮助。


小易传媒工作室资源网 » emlog模板防止跨站漏洞教程(所有模板作者请务必阅读)
  • 169会员总数(位)
  • 922资源总数(个)
  • 1本周发布(个)
  • 0 今日发布(个)
  • 576稳定运行(天)

提供最优质的资源集合

立即查看 了解详情
升级VIP尊享更多特权立即升级
本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除 ? 1995-2021 侵权投诉邮箱:1076433326@qq.com
高新区小易传媒工作室蜀ICP备20002808号-2

网站首页 |投稿奖励 |友情链接 | 广告合作 | 网站地图 | 留言反馈 | 联系小易

?版权所有,盗版必究-|小易传媒工作室