本文目录一览:
- 1、看看我这个PHP代码怎么防止跨站脚本攻击(XSS)
- 2、这个xss有过滤方案么
- 3、$param可以将json序列化为字符串,那么怎么把字符串反序列化为json
- 4、ASP网站的XSS跨站漏洞出现原因及解决办法?
- 5、jsp用${param.}得到传的参数,param点后不是参数名,是把参数名放到一个变量中,我该怎么得到参数名
- 6、传奇$param(1)命令什么意思
看看我这个PHP代码怎么防止跨站脚本攻击(XSS)
很遗憾,你这代码乱得很,而且看起来是后端处理代码,并不是xss关键处理代码,xss一般在入库前进行转义
这个xss有过滤方案么
方案一:
避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤:
PHP的htmlentities()或是htmlspecialchars()。
Python 的 cgi.escape()。
ASP 的 ServerEncode()。
ASP.NET 的 ServerEncode() 或功能更强的 Microsoft Anti-Cross Site Scripting Library
Java 的 xssprotect(Open Source Library)。
Node.js 的 node-validator。
方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )
$param可以将json序列化为字符串,那么怎么把字符串反序列化为json
//jQuery方式
var obj = $.parseJSON(json);
....
//eval
var obj = eval("("+json+")");
//下载json2.js
var obj = JSON.parse(json);
//三种方式都可以、看你自己喜欢、个人一般用jQuery自带的那个方法、不过要1.5版本以后的、老版本没有、
ASP网站的XSS跨站漏洞出现原因及解决办法?
Xss漏洞主要利用的是把输出的内容信息转化成脚本信息,这就需要把输出信息做过滤,这方面的过滤API可以考虑OWASP的ESAPI。这个API有面向ASP的版本,去OWASP官网去找吧。
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
ASP
漏洞代码示例:
%
Dim param
Set param=Request.QueryString(“dd”)
response.write param
%
修复范例:
%
Dim param
Set param=Request.QueryString(“dd”)
response.write Server.HTMLEnCode(param)
%
PHP
漏洞代码示例:
?php
$aa=$_GET['dd'];
echo $aa.”123″;
?
修复范例:
?php
$aa=$_GET['dd'];
echo htmlspecialchars($aa).”123″;
?
jsp用${param.}得到传的参数,param点后不是参数名,是把参数名放到一个变量中,我该怎么得到参数名
%
request.setAttribute("pn", "username");
%
param : ${param[request.pn]}
这样就应该可以输出param.username的值了。
传奇$param(1)命令什么意思
我晓得的是:选择项目/@段 ;选择项目后转称到指定段,相当于C中的case语句
#say 语句 ;语句设定为字符,不用加任何定界符
#act 执行命令 ;符合3.0规定的任何系统已定义命令
give 物品 数量 ;给多少东西,除了物器数据库中有的物品,还有金币,
;在大多数汉化版3.0中都汉化为“金”
take 物品 数量 ;同上,只是与上面相反,一个是给东西,一个是收回东西
map 地图名 ;移动到这个地图的随机坐标,地图名为地图的数字人码
mapmove 地图名 坐标A 坐标B ;同上,只是指定了坐标
monclear 地图名 ;清除这个地图上刷的怪物