php - HTML エンティティをバイパスする

質問する 2019-04-20T07:33:38.360

1691 次

とにかく、入力のサニタイズをバイパスして HTML インジェクションを行う方法はありますか。

bWAPP からの演習です。HTMLi を実行しようとすると、入力の検証がチェックされ、特殊文字がサニタイズされます。サニタイズ用のコードが添付されています。コードをバイパスして HTML インジェクションを実行する方法は他にありますか?

function xss_check_3($data, $encoding="UTF-8")
{
    // htmlspecialchars - convert specialchars to HTML entities
    //  '&'(ampersand) becomes '&amp;'
    // '"'(double quotes) becomes '&quot;' when ENT_NOQUOTES is not set
    // "'"(Single quotes) becomes '&#039;' (or &apos;) only when ENT_QUOTES is 
      set
   // '<'(lessthan) becomes '&lt;'``
   // '>'(greterthan) becomes '&gt;'

  return htmlspecialchars($data, ENT_QUOTES, $encoding);
}

php - HTML エンティティをバイパスする

1 に答える 1

Related

Reference