php安全 - php现在是不是自带过滤的?

 最佳肖妮妮 发布于 2022-11-19 08:50
  • php
  • 安全
  • js
  • 注入
  • 数据库
  • html

    • 原生php,在照着网上做一些安全防范的例子。(有点旧了2012的)
    有个js脚本注入的,我在数据数据库里输入无限alert的一个脚本,发现,查询结果无法显示出来,空白的,其他html标签能够正确显示的,比如,h1标签。
    然后试了下,只要有

    几个字就无法显示,是php自带的过滤吗?还是说是浏览器的过滤= =
    顺求哪里可以系统的学习下php安全防范的比较新的。。

    echo"
    ";
echo"
    客户端脚本植入
    ";
$sql2="select username from check_member where uid=1";
$query2=mysqli_query($con,$sql2);
if($query2){
    echo"success
    ";
    $query2=mysqli_fetch_assoc($query2);
    // echo htmlspecialchars($query2['username']);
    echo $query2['username'];
}else{
    echo "failed";
}

    然后数据库username字段里是

    是在这个网站的第三篇学习的 内容有点久远了

    4 个回答

    • 浏览器会有一定的防XSS安全措施

      chrome 可以看下console中,会有红色提示
      IE会在页面头部弹出提示

      2022-11-19 10:43 回答

    • 首推OWasp https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

      2022-11-19 10:43 回答

    • htmlspecicalchars() 这个

      2022-11-19 10:43 回答

    • 没有做任何处理从数据库直接拿出来 <script>alert(123);</script> 绝对会执行的。刚试过。

      贴出你的代码吧少年

      2022-11-19 10:43 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有