本文改自: http://blog.51yip.com/php/1031.html
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对 JS 进行过滤,我在留言中加入以下内容:
<script type="text/javascript"> while (true) { alert('我弹!'); } </script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒,而离开你的网站。
针对如上的情况,这里有两种解决方案:
第一种方案:使用 htmlspecialchars 函数转换特殊字符和使用 nl2br 函数插入一些必要的 <br /> 标签。
代码清单:
得到源码为:
<script type="text/javascript"><br /> while (true) {<br /> alert('我弹!');<br /> }<br /> </script>
而浏览器会把 js 代码原样输出来。这种方案百度贴吧就是这么干的。
第二种方案:把评论内容中出现的所有的<script...>,</script>去掉
代码清单:
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment); //把评论内容中出现的所有的<script...>,</script>去掉
得到源码为:
while (true) {
alert('我弹!');
}
这样的话,因为这段代码缺少<script></script>,所以运行不起来。
二,html注入的危害
1,容易引起页面错乱,对用户输入 html 标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响 seo,做 seo 的人都知道,pr 高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高 pr 网站灌水的原因了。如果你没有对 html 标签进行处理的话,我输入以下内容
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致网站权重降低。
危害肯定不止这二个,因此要对这些html标签进行处理
处理的方法很简单:使用 strip_tags() 函数即可。