Deutsch
Deutsch
In der Webentwicklung ist die Vorbeugung von XSS (Cross-Site-Skriptangriffe) eine wichtige Aufgabe, um die Sicherheit von Benutzerdaten zu gewährleisten. PHP liefert die Funktion htmlSpecialChars () , um Sonderzeichen in HTML -Entitäten umzuwandeln, wodurch eine schädliche Skriptinjektion effektiv verhindert wird. Die Sprintf () -Funktion wird häufig verwendet, um Zeichenfolgen zu formatieren, insbesondere beim dynamischen Aufbau von HTML.
In diesem Artikel werden wir erklären, wie Sie Sprintf () und HTMLSpecialChars () verwenden, um sowohl eine sichere als auch gut strukturierte HTML-Ausgabe zu erstellen.
Ein XSS -Angriff bezieht sich auf einen Angreifer, der schädliche Skripte in eine Webseite injiziert. Sobald der Benutzer auf der Webseite durchbaut, werden diese Skripte im Browser des Benutzers ausgeführt, die Cookies stehlen, den Seiteninhalt oder nicht autorisierte Vorgänge durchführen können.
HTMLSpecialChars () ist eine integrierte Funktion in PHP, die Sonderzeichen in HTML (wie < , > , & , " usw.) in HTML-Entitäten entgeht. Auf diese Weise wird es nicht in tatsächliche Code analysiert, auch wenn der Benutzereingang Skript-Tags enthält.
$user_input = '<script>alert("XSS")</script>';
$safe_output = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
echo $safe_output;
// Ausgabe:<script>alert("XSS")</script>
Sprintf () wird verwendet, um Variablen in formatierte Zeichenfolgen einzufügen, und führt keine Fluchtverarbeitung durch. Bei Ausgabe der vom Benutzer eingegebenen Daten sollte daher zuerst htmlspecialChars () verarbeitet und dann an Sprintf () übergeben werden.
$template = '<a href="%s">%s</a>';
$url = 'https://gitbox.net/page?search=<script>alert(1)</script>';
$link_text = 'Klicken Sie hier, um anzuzeigen';
$safe_url = htmlspecialchars($url, ENT_QUOTES, 'UTF-8');
echo sprintf($template, $safe_url, $link_text);
// Ausgabe:<a href="https://gitbox.net/page?search=<script>alert(1)</script>">Klicken Sie hier, um anzuzeigen</a>
HINWEIS: Obwohl Link_text im obigen Beispiel statisch ist, muss es auch mit HTMLSpecialChars () bearbeitet werden, wenn es vom Benutzer eingegeben wird!
Angenommen, Sie entwickeln eine Message Board, und der vom Benutzer eingereichte Spitzname und der Nachrichteninhalt werden auf der Seite angezeigt. Hier ist ein Beispiel für Unsicherheit:
echo sprintf('<p>%s erklären:%s</p>', $_POST['name'], $_POST['message']);
Ein Angreifer kann Folgendes einreichen:
Spitzname: <Script> alert ("xss") </script>
Hinterlassen Sie eine Nachricht: <img src = "x" onError = "alert ('xss')">
$name = htmlspecialchars($_POST['name'], ENT_QUOTES, 'UTF-8');
$message = htmlspecialchars($_POST['message'], ENT_QUOTES, 'UTF-8');
echo sprintf('<p>%s erklären:%s</p>', $name, $message);
Auf diese Weise wird der Browser unabhängig davon, was der Benutzer eingibt, vom Browser nicht in tatsächliche HTML oder JavaScript analysiert, wodurch XSS -Angriffe effektiv verhindert werden.
Die Verwendung von HTMLSpecialChars () , um die Benutzereingabe zu entkommen, ist die primäre Möglichkeit, XSS zu verhindern.
Beim Erstellen von HTML -Ausgang können Sie Sprintf () kombinieren, um ein klares Strukturspleißen durchzuführen. Sie müssen jedoch zuerst entkommen und dann formatieren .
Unterscheiden Sie streng von der Struktur und vertrauen Sie den Benutzereingaben niemals.
Durch die vernünftige Kombination von Sprintf () und HTMLSpecialChars () können wir den Risiken der gemeinsamen Front-End-Angriffsrisiken effektiv widerstehen und gleichzeitig sicherstellen, dass der Code klar und lesbar ist. Ich hoffe, dieser Artikel wird für Ihre Entwicklungsarbeit hilfreich sein!
