Deutsch
Deutsch
Cross-Site Scripting Attack (XSS) ist eine häufige und gefährliche Sicherheitsbedrohung in der Webentwicklung. Durch die Injektion von böswilligen Skriptcode führt der Angreifer den Browser durch, das unerwartetes Verhalten ausführt, Benutzerinformationen stiehlt, Hijack -Sitzungen und sogar den Browser des Benutzers steuert. Um XSS zu verhindern, filtern und codieren Entwickler in der Regel die Benutzereingabe. In PHP ist HTMLSpecialChars () eine der am häufigsten verwendeten Schutzmethoden. Wenn der vom Benutzer eingereichte Inhalt jedoch ungültige oder illegale Zeichensequenzen enthält, kann es die Anfälligkeit nicht vollständig verhindern, wenn HTMLSpecialChars () allein nicht vollständig verhindern. Zu diesem Zeitpunkt ist es notwendig, mb_scrub () für eine robustere Verarbeitung zu kombinieren.
mb_scrub () ist eine in PHP 8.2 eingeführte Funktion, mit der eine Multibyte -Zeichenfolge "reinigen" wird, die illegale Zeichen enthält, um sie zu einer legalen Zeichenfolge zu machen. Wenn Multi-Byte-Zeichen während der Übertragung oder Verarbeitung abgeschnitten werden, kann eine ungültige Zeichensequenz gebildet werden. Wenn diese illegale Sequenz direkt in HTMLSpecialChars () übergeben wird, kann sie den erwarteten Fluchtmechanismus unter bestimmten Bedingungen umgehen.
Beispielsweise kann eine illegale UTF-8-Byte-Sequenz versehentlich im Browser analysiert werden, was zu einer Skriptinjektion führt.
<span><span><span class="hljs-comment">// Beispiel:Eingabe mit illegalen Bytes</span></span><span>
</span><span><span class="hljs-variable">$input</span></span><span> = </span><span><span class="hljs-string">"\xC0<script>alert('XSS');</script>"</span></span><span>;
</span><span><span class="hljs-comment">// Direkt verwenden htmlspecialchars(Unsicher)</span></span><span>
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-title function_ invoke__">htmlspecialchars</span></span><span>(</span><span><span class="hljs-variable">$input</span></span><span>, ENT_QUOTES, </span><span><span class="hljs-string">'UTF-8'</span></span><span>);
</span></span>Wenn $ Eingabe im obigen Beispiel illegale UTF-8-Bytes enthält, kann der Browser diese Bytes ignorieren und nachfolgende <Script> -Tags ausführen.
Um dieses Problem zu lösen, können wir zuerst mb_scrub () verwenden, um die Zeichenfolge zu reinigen und sie dann an HTMLSpecialChars () für die HTML -Entität zu übergeben.
<span><span><span class="hljs-comment">// Sicherheitspraktiken:Zuerst reinigen,Wieder entkommen</span></span><span>
</span><span><span class="hljs-variable">$clean</span></span><span> = </span><span><span class="hljs-title function_ invoke__">mb_scrub</span></span><span>(</span><span><span class="hljs-variable">$input</span></span><span>, </span><span><span class="hljs-string">'UTF-8'</span></span><span>);
</span><span><span class="hljs-variable">$safe</span></span><span> = </span><span><span class="hljs-title function_ invoke__">htmlspecialchars</span></span><span>(</span><span><span class="hljs-variable">$clean</span></span><span>, ENT_QUOTES, </span><span><span class="hljs-string">'UTF-8'</span></span><span>);
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-variable">$safe</span></span><span>;
</span></span>Die Vorteile dieser Kombination sind:
mb_scrub () garantiert die Legalität von Zeichensequenzen : Ungültige Zeichen werden behoben oder entfernt, um Browserfehler bei der Behandlung illegaler Codierungen zu verhindern.
HTMLSpecialChars () bietet Tag -Flucht : Konvertiert < , > , " , ' und andere Zeichen in HTML -Entitäten, um die HTML -Injektion zu verhindern.
Geben Sie immer den auf UTF-8 eingestellten Zeichen an, um eine plattformübergreifende Konsistenz sicherzustellen.
Reinigen und entgehen Sie allen Benutzereingaben , insbesondere wenn Sie an HTML ausgegeben werden.
Verwendung mit Inhaltssicherheitspolizei (CSP), um XSS-Risiken weiter zu reduzieren.
Upgrade auf PHP 8.2 oder höher, um die Funktion mb_scrub () zu verwenden.
Obwohl HTMLSpecialChars () das grundlegende Werkzeug ist, um XSS zu verhindern, ist es kein Allmächtiger. Wenn die Benutzereingabe eine illegale Zeichenkodierung enthält, kann dies zu einer Sicherheitsanfälligkeit führen. Durch Hinzufügen von mb_scrub () vor ihm können illegale Zeichen effektiv gelöscht und die Schutzfestigkeit verbessert werden. Für PHP -Entwickler, die höhere Sicherheitsstandards anstreben, ist diese Kombination wert, eine Förderung zu fördern.
