XSS攻擊得到可變

2014-02-19 79 views 0 likes

我有一個網站獲取從數據庫中的數據，並創建一個鏈接到下一個頁面XSS攻擊得到可變

的鏈接頁面將需要page_id它將地址欄上顯示標題

<a href=example.php?page=2&title=foo">click</a>

的網址將顯示：

example.php?page=2&title=foo

page_id將只是數字，但標題可以是任何內容。

我的問題是：

2014-02-19 Ben

@AmalMurali'Cross Site Scripting'攻擊 – bear

sry拼寫錯誤 – Ben

聽起來像某種「背後」背後的攻擊......關於OP問題：你有沒有檢查過有關SO的xss和sql注入的數十億線程？ – bastienbot

回答

瀏覽器不應該也不會（至少IE11不會）在onclick屬性中執行javascript。

2014-02-19 14:17:41 bear

你應該使用：

進行urlencode編碼查詢參數，
用htmlspecialchars逃脫用戶裏面的html類型
參數綁定到SQL語句的內容，以避免SQL注入
（http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php）

2014-02-19 14:22:17 ziollek

相關問題