PHP -htmlspecialchars

題目：

中文大致翻譯：

這個(gè)題目的意思并不是讓你利用這個(gè)漏洞，而是讓你修改htmlspecialchars函數(shù)的參數(shù)，從而達(dá)到防止XSS的目的

了解htmlspecialchars函數(shù)

網(wǎng)址： https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

主要的是里面的參數(shù)
ENT_COMPAT - 默認(rèn)。僅編碼雙引號(hào)（就是只轉(zhuǎn)義雙引號(hào)，雖然轉(zhuǎn)義了雙引號(hào)，但還是容易受到單引號(hào)的XSS攻擊）
ENT_QUOTES - 編碼雙引號(hào)和單引號(hào)（就是單引號(hào)、雙引號(hào)全部轉(zhuǎn)義，可以更好地防止XSS）
ENT_NOQUOTES - 不編碼任何引號(hào)（不轉(zhuǎn)義任何單雙引號(hào)，不建議，因?yàn)槿菀资艿絏SS攻擊）
注：

這一個(gè)提交欄，在我認(rèn)為只是用來(lái)測(cè)試，并無(wú)它作用

Payload：

我們構(gòu)造的Payload如下：


上圖就是最后的Payload，考察了我們對(duì)htmlspecialchars函數(shù)的理解，最重要的是，我認(rèn)為這一題不是要我們構(gòu)造Payload進(jìn)行滲透，而是要求我們改善php代碼，達(dá)到更有效地防止XSS攻擊。

總結(jié)

以上是生活随笔為你收集整理的WeChall_PHP-htmlspecialchars的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。