360检测高危漏洞需要利用php的函数,怎么弄哇?

范佩西_11 2014-01-19 11:50:48
我再360站长检测时提示以下漏洞,不太明白是什么意思,ps:本人不是PHP开发人员这个站点是我下载的模板,前面没有检测出漏洞,现在检测出来问题了,很奇怪的,提示这个方法,需要怎样添加修改呢?
方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。

我的网站是成都拼客网,大家是否可以查看页面
/member/info.php这个页面提示的,
[高危]跨站脚本攻击漏洞。郁闷,之前安全是100分,现在只有40分了,
有清楚这个htmlentities()方法的吗?
...全文
737 点赞 收藏 7
写回复
7 条回复
范佩西_11 2014年01月26日
谢谢。我自己在研究下,检查了下,还有一个页面有问题
回复 点赞
谢小康 2014年01月25日
定义和用法
htmlentities() 函数把字符转换为 HTML 实体。

语法htmlentities(string,quotestyle,character-set)

这里有详细的介绍http://web10000.cn/thread-49-1-1.html
希望能帮到你
回复 点赞
范佩西_11 2014年01月25日
恩不好意思,当天晚上用360检测的方法给弄好了。没有来得及回复。
回复 点赞
KazJ 2014年01月20日
xss跨站脚本攻击 是对于用户输入 没有做过滤或是过滤不严 你用正则和php过滤函数 去做过滤 应该能解决大部分的xss攻击
回复 点赞
一把编程的菜刀 2014年01月20日
360有时候也是误判的,主要是自己要亲自检测
回复 点赞
柏新星_csdn 2014年01月20日
http://www.pin365.net/PhpMyAdmin/error.php?error=<script>window.alert('a')</script>
输出正常未出现xss http://www.pin365.net/public/info.php http://www.pin365.net/member/login.php http://www.pin365.net/member/info.php空页面可能我没登陆原因 就是给你的url含有特殊 脚本的代码比如
http://www.pin365.net/PhpMyAdmin/error.php?error=<script>window.alert('a')</script>
最好用工具测一下 不过手动检查没问题 没发现那里能传特殊参数的
回复 点赞
范佩西_11 2014年01月19日
在线等哈,不知道现在还有没有人啊? 求懂的帮忙.
回复 点赞
发动态
发帖子
PHP
创建于2008-08-27

8590

社区成员

1.9w+

社区内容

“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法利用了C、Java和Perl,该语言的主要目标是允许web开发人员快速编写动态网页。
社区公告
暂无公告