Web安全防护基础篇：HTML Injection

Web安全防护基础篇：HTML Injection - Reflected (GET)

本文主要是介绍Web安全防护基础篇：HTML Injection - Reflected (GET)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

现在大部分的网站数据提交用到了Form表单，而如果程序员在未对表单提交的数据进行验证时，会有那些危害性呢？

本文案例为Form表单的Get方式提交(Post提交也是同样的效果)，分为安全等级为低等，中等，高等三个层次进行说明。

1：安全等级-低等（未进行任何字符处理）

例如：

 <form action="<?php echo($_SERVER["SCRIPT_NAME"]);?>" method="GET"><p><label for="firstname">First name:</label><br /><input type="text" id="firstname" name="firstname"></p><p><label for="lastname">Last name:</label><br /><input type="text" id="lastname" name="lastname"></p><button type="submit" name="form" value="submit">Go</button>  
</form>

对应的PHP展示代码为：

<?phpif(isset($_GET["firstname"]) && isset($_GET["lastname"])){   $firstname = $_GET["firstname"];$lastname = $_GET["lastname"];    if($firstname == "" or $lastname == ""){echo "<font color=\"red\">请输入必填的字段...</font>";       }else            { echo "Welcome " . $firstname . " --- " . $lastname;   }}
?>

注意：在表单提交没有对用户输入的数据进行处理，并且在echo 的时候没有处理就打印到页面，那如果用户在文本框中输入类似代码：

<a href=http://www.baidu.com>Click Me</a>

那展示到页面的结果将会是一个跳转到百度的Click Me链接，这种常见的入侵手段危害有多大呢？

参考：论坛发帖，我在一些重要的文字中加入这种代码，编写一段获取浏览器Cookie的代码等等，是不是就可以获取到你浏览器当中一些隐私信息呢？

2：安全等级-中等( 初级的字符处理 )

对输入参数进行urldecode，并将特殊字符处理

urldecode($firstname)
urldecode($lastname)
str_replace("<", "&lt;", $input);
str_replace(">", "&gt;", $input);

如果在展示的时候按上面的处理方式处理了用户输入的值，那用户输入

<a href=http://www.baidu.com>Click Me</a>

在页面展示，还是

<a href=http://www.baidu.com>Click Me</a>

但是，我把对应的代码转成ASCII编码格式呢？

<a href=http://www.baidu.com>Click Me</a>

%3ca+href%3dhttp%3a%2f%2fwww.baidu.com%3eClick+Me%3c%2fa%3e

结果发现，在页面上输出的结果变成了，跳转到百度的链接，这就等于用户输入绕过了我的编码防范…

3：安全等级-高等（htmlspecialchars）

参考：https://www.zhihu.com/question/27646993

4：解决方案-MYSQLi

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);$stmt->execute();$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {// do something with $row
}