后端开发|php教程
memo,replace,gt,quot,lt
后端开发-php教程
网站留言板的问题!!跪求大神帮忙!
最近我之前做的一个网站经常被人恶意留言,然后通过提交一些JS的代码来弹出一些乱七八糟的东西!求大神帮帮忙,我只是刚接触PHP这方面的工作,对一些安全的防范意识不是很好!看网上说用正则来替换!但是我对于正则表达式不懂!所以请大神懂得教下小弟,感激不尽!在这里,先感谢各位了!
手机版导航源码,vscode扩展工具,UBUNTU手机系统b超,iis 多个tomcat,sqlite 存byte,日付游戏服务器,jquery上传 下载 插件,web前端框架制作,mooc 爬虫,php得未来,谷歌seo网络公司,网站多级导航效果,网页左边导航右边切换,简单大气网站模板,js html页面生成图片,jsp文档管理系统源码,电影 程序lzw
——解决方案——————–
网站在哪呢?我也去玩一下…
易语言辅助脚本源码,UBUNTU手机摄影图片,tomcat的进程十哪个,爬虫英雄壁纸,php网站稳定吗,嘉兴优化seolzw
这种东西网上有很多的,可以充分的搜索。给你复制一段
菜鸟商城 源码,vscode查找行,ubuntu mbed,tomcat 独立部署,sqlite图书管理系统,微擎 有偿 视频 插件,前端框架设计模式有哪些,财务可以用到爬虫吗,index.php打开,seo论坛推广运营,企业网站 java源码,网页上悬浮多个qq咨询按钮,网易云音乐网页模板lzw
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
for(i=0;i>=0;i++){
alert(‘我弹’);
}
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
$comment = preg_replace(“//i”,”,$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
$comment = preg_replace(“/<[\/\!]*?[^]*?>/si”,”,$comment);
过滤的方法有好多,也可以直接把这样的符号转义掉,或者直接删除掉都是可以的。
——解决方案——————–
把 内容中的 替换掉..
js端:
memo=留言内容;
memo=memo.replace(‘<,<);
memo=memo.replace(‘>’,’>’);
服务端:
$memo=$_POST[‘memo’];
$memo=preg_replace(‘<,<,$memo);
$memo=preg_replace(‘>’,’>’,$memo);