2017-0109

网络流传的HTML插入攻击到底是什么

返回

网络流传的HTML插入攻击到底是什么

 

  在Web应用程序代码中对全部的数据进行转义处理.“转义(escaping)”的意思a是将来自不可信通如由Web站点某个访问者添加的回帖)的文本和其他数据进行修改,使得这些数据在应用程序中进行进一步处理或显示时,不会造成非预期的影响。

  输入数据校验和转义是个常见的安全问题,但是大部分Web开发人员只在SQL内容中进行这项工作.大部分有经验的Wcb开发人员知道,在将数据发送到SQL数据库之前,必须对数据进行转义或清理。否则,精心构造的输入可能造成可怕的查询,从而幕露荆或摧毁数据。尽管如此,很多编程人员仍然忘记转义SQL输入,更多的人忘记转义HTML输入。

  即使这个术语本身也显得不够重视。使用PHP函数mysgl real-escape一string(]来“转义”SQL,而使用PHP函数btmispecWcharsfl或httrrdenrifies0来“转换特殊字符“。另外·关于为什么要转义SQL方面,还有大量的讨论。山Wsgl real escape striugO文档说“在将查询发送给MYSQL之前.必须记得(只有很少例外)使用这个函数以使得数据安全。”

http://www.4miao.net/sitemap.xml

  但是没有关于HTML转义函数的文档说出类似的话:“必须对用户生成的HTML进行转义,否则瀚明的人可以使用精心构造的参数来告诉世界你的看法,并将链接指向可怕的地方。”很明显,你的站点可能被用于支持其他的可疑站点或者发送链接到目的地。但是无论哪种情况,你都应该不会希望在不知情的情况下发生上面这种事情。下面就是在正确转义过程前后的代码示例。