大部分的網站一般都有評論功能或留言功能,或類似可以讓用戶寫東西的地方。
如果後臺不經過處理,又把數據返回前端,這就會出問題了。網頁解析器會把用戶的信息也當成html代碼給解析了。
如果用戶寫的是一些惡意的 js 腳本這是很危險的。專業術語叫:XSS 攻擊
舉個例子:假設後臺和前臺都沒有對需要添加的博客的信息進行處理就添加成功了,此時添加了一張圖片地址指向的是危險連接。
當用戶又把信息讀取出來的時候就執行了危險的頁面http://www.baidu.com 獲取通過人家的網址傳播 不良信息 或者盜取當前網站的數據。
防止xss漏洞的方法:
if (isset($_POST['name'])){
$str = trim($_POST['name']); //清理空格
$str = strip_tags($str); //過濾html標籤
$str = htmlspecialchars($str); //將字符內容轉化爲html實體
$str = addslashes($str); //特殊符號轉義
echo $str;
}