跨站脚本攻击漏洞解决方案
跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie
跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤。
跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie
跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤。
Discuz X2运行在PHP5.2.17下,php-5.2.17_errors.log出现大量的错误提示:
PHP Notice: Undefined index: fromuser in E:\bbs\index.php on line 122
这个错误提示大概意思是:存在未定义的变量。
虽然这个报错不影响程序运行,但错误日志每天不断增加也很烦人。怎么解决呢?
Discuz! X3.2 R20141225版本发布了,DZ官方也没有具体说说这次更新到底更新了啥。
Discuz官方论坛的原话是:
本版本根据X3.2发布后收集的问题进行了修正, 使程序更加安全稳定。 建议 所有X3.2用户进行升级。
忍不住好奇心,稍微浏览了下更新包的代码。
除了普通的功能性补丁、安全性修复外,最让我惊讶的是,竟然针对php5.4以上版本出现的utf8编码问题修复了!
使用preg_match函数,在读取xml内容匹配的时候,需要注意括号与斜杠转换,否则会出现”preg_match(): Unknown modifier“的错误提示。
例如XML语句是:
<city>广州</city>
正确的preg_match写法:
preg_match('/\<city\>(.*)\<\/city\>/',$files,$city);
PHP5.3以后的版本不再支持ereg和eregi函数了,报错:
Function eregi() is deprecated
参考PHP官方手册,用preg_match代替,而且效率更高。
ereg和eregi函数使用是一样的,但区别在于是否区分大小写。
原函数eregi如果直接替换为preg_match,会出现一些问题,格式有点改变。