Обтекание htmlspecialchars (добавление) (для ввода)) для инъекции HTML/JavaScript

Question

Предположим, что некоторый PHP-код, который перекликается с входом, дезинфицированным, сначала применяя addslashes(), а затем htmlspecialchars() к HTML-документу. Я слышал, что это небезопасный подход, но не могу понять, почему.

Любые предложения относительно того, какое форматирование может быть применено к опасному вводу, например JavaScript в тегах скриптов, можно обойти меры безопасности, наложенные этими двумя функциями.

Answer 1

addslashes не имеет отношения к XSS (и в тех местах, где это действительно полезно, почти всегда что-то лучше).

htmlspecialchars не является небезопасным подходом. Это просто недостаточно.

htmlspecialchars защитит вас, если вы разместите контент как тело «безопасного» элемента.

Он защитит вас, если вы поместите содержимое как значение «безопасного» атрибута, если вы также правильно указали значение.

Это не защитит вас, если вы поместите его в качестве значения «опасным» атрибута или элемента (где содержание может рассматриваться как JavaScript), такие как <script>, onmoseover, href или style.

---

Например:

<!-- http://example.com/my.php?message=", steal_your_cookies(), " --> 
<!-- URL not encoded for clarity. Imagine the definition of steel_your_cookies was there too --> 

<button onclick='alert("<?php echo htmlspecialchars($_GET['message']); ?>")'> 
    click me 
</button> 

даст вам:

<button onclick='alert("&quot;, steal_your_cookies(), &quot;")'> 
    click me 
</button> 

, что означает то же самое, как:

<button onclick='alert("", steal_your_cookies(), "")'> 
    click me 
</button> 

, который будет воровать ваши куки при нажатии кнопки кнопка.