堆栈内存溢出
  繁体   English   中英

使用htmlspecialchars / htmlentities重定向

[英]redirects using htmlspecialchars/htmlentities

 原文  2016-05-26 01:59:44       php/ xss/ html-entities/ htmlspecialchars

问题描述

我现在有这种fo重定向 

Redirect::to(htmlspecialchars('home.php'));

但是当我在home.php上键入此代码时: /%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

结果如下: 在此处输入图片说明

但为什么 ? 他们说它将被转换,从而使利用尝试失败,但是为什么在我看来却没有?

1 个解决方案

解决方案1
 0  2016-05-26 05:31:11

htmlspecialchars使用参数传递的字符串将特殊字符编码为它们的HTML等效字符。 您的密码 

Redirect::to(htmlspecialchars('home.php'));

仅编码字符串home.php并将其传递给Redirect::To home.php ,而不在整个页面的输出上使用htmlspecialchars。

要解决这个问题,您必须像这样在home.php每个输出上使用它: 

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

(示例来自: http : //php.net/htmlspecialchars

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 PHP htmlentities或htmlspecialchars htmlspecialchars + htmlentities不起作用 htmlentities,htmlspecialchars和ajax问题 PHP htmlspecialchars() 或 htmlentities() 例外 htmlspecialchars()或htmlentities()不起作用 htmlentities()与htmlspecialchars() 由于在 htmlspecialchars 和 htmlentities 中使用单引号在 php 中的错误 使用htmlspecialchars()和htmlentities()后如何检索原始文本 htmlentities 和 htmlspecialchars 拒绝处理字符串 PHP htmlentities或htmlspecialchars =合并错误
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM