XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略 其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用 户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie 信息、破坏页面结 常见的恶意字符 XSS 输入: 1. XSS 输 入 通 常 包 含 JavaScript 脚 本 , 如 弹 出 恶 意 警 告 框 : 2. XSS 输入也可能是 HTML 代码段,譬如: (1) 网页不停地刷新 (2) 嵌入其它网站的链接 构、重定向到其它网站等。 方法:利用 php htmlentities()函数 php 防止 XSS 跨站脚本攻击的方法:是针对非法的 HTML 代码包括单双引号等,使用 htmlspecialchars()函数。 在 使 用 htmlspecialchars() 函 数 的 时 候 注 意 第 二 个 参 数 , 直 接 用 htmlspecialchars($string)的话,第二个参数默认是 ENT_COMPAT,函数默认只是转化 双引号("),不对单引号(')做转义。 所 以 , htmlspecialchars()函 数 更多的 时候要 加 上第 二个 参 数,应该 这样用 : htmlspecialchars($string,ENT_QUOTES)。当然,如果需要不转化如何的引号,用 htmlspecialchars($string,ENT_NOQUOTES)。 另 外 , 尽 量 少 用 htmlentities(), 在 全 部 英 文 的 时 候 htmlentities() 和 htmlspecialchars()没有区别,都可以达到目的。但是,中文情况下, htmlentities() 却会转化所有的 html 代码,连同里面的它无法识别的中文字符也给转化了。 htmlentities()和 htmlspecialchars()这两个函数对单引号(')之类的字符串支持不 好,都不能转化, 所以用 htmlentities()和 htmlspecialchars()转化的字符串只能防 止 XSS 攻击,不能防止 SQL 注入攻击。 所有有打印的语句如 echo,print 等,在打印前都要使用 htmlentities()进行过滤,这 样可以防止 XSS,注意中文要写出 htmlentities($name,ENT_NOQUOTES,GB2312)。