tru*_*les 0 php security code-injection
一些随机的人在一条消息中发送说我们网站上有一个错误.他们将我们引导到我们网站内的特定网址,这显然是不正确的.
我们没有点击链接,我已经检查了服务器,以查看我没有制作的文件的最新更新.我发现的唯一一件事就是一个空文本文件,这是一个很长的疯狂文件名:
MJ12_43CC245DB24A2F895E300CD7F1BAE3E5.txt
此人发送给我们的链接是这样的(隐私改变的细节)
这是一次尝试的XSS攻击.
该URL中包含以下内容;
<script>Alert(123)</script>
但是它已被URL编码,如果你buy.php脚本解码它并在页面上显示它而没有正确消毒它,那么会有一个弹出窗口"123".
请确保您使用以下功能;
htmlspecialchars()
要么
striptags()
始终消毒用户输入!
| 归档时间: |
|
| 查看次数: |
86 次 |
| 最近记录: |