PHP -htmlspecialchars

題目：

中文大致翻譯：

這個題目的意思并不是讓你利用這個漏洞，而是讓你修改htmlspecialchars函數的參數，從而達到防止XSS的目的

了解htmlspecialchars函數

網址： https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

主要的是里面的參數
ENT_COMPAT - 默認。僅編碼雙引號（就是只轉義雙引號，雖然轉義了雙引號，但還是容易受到單引號的XSS攻擊）
ENT_QUOTES - 編碼雙引號和單引號（就是單引號、雙引號全部轉義，可以更好地防止XSS）
ENT_NOQUOTES - 不編碼任何引號（不轉義任何單雙引號，不建議，因為容易受到XSS攻擊）
注：

這一個提交欄，在我認為只是用來測試，并無它作用

Payload：

我們構造的Payload如下：


上圖就是最后的Payload，考察了我們對htmlspecialchars函數的理解，最重要的是，我認為這一題不是要我們構造Payload進行滲透，而是要求我們改善php代碼，達到更有效地防止XSS攻擊。

總結

以上是生活随笔為你收集整理的WeChall_PHP-htmlspecialchars的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。