htmlspecialchars过滤

A. 大家都知道php有个函数htmlspecialchars 可以拿来防止X-S-S.

这个函数是过滤 ' "" 即 单引抄号 双引号的

在入库的时候如果不过滤 ' ""这样的东西 php程序员应该能明白有多可怕

htmlspecialchars的作用是把：

& （和号） 成为 &
" （双引号） 成为 "
' （单引号） 成为 '
< （小于） 成为 <
> （大于） 成为 >

输出的时候不需要特殊处理 浏览器 会把这些标签还原的

一般来说使用 mysql_escape_string（） 处理sql语句就可以解决很多问题

不信可以尝试一下

B. 在读取数据的时候怎么使用htmlspecialchars过滤

在PHP服务器端，对POST过来的值，进行实体化。用函数htmlspecialchars()进行过滤一下就可以了。 例如： $name = htmlspecialchars($_POST['name']);

C. xss攻击时怎么绕过 htmlspecialchars函数

绕不过。

所谓绕过就是挑程序员忘记正确转码的地方下手。

注意并非htmlspecialchars就万事大吉，内不同容的地方需要不同的转码。所以所谓绕过htmlspecialchars也可能指那个漏洞点用htmlspecialchars转码压根不正确。

D. <=esub(htmlspecialchars(strip_tags($navinfor[newstext])),200)> 无法过滤掉帝国CMS提取的description

这个很不清楚，看都是自己写的函数名，无函数体。

E. htmlspecialchars 和 addslashes

htmlspecialchars函数是把一些预定义的字符转换为HTML字符实体，HTML字符实体可以被浏览器解析。
addslashes函数的作用是专在预定义属的字符前面加上反斜杠转义。
addslashes通常用于防止sql语句注入，如当传递过来的数据带有引号时可能会改变拼接的sql语句，从而更改数据库操作。
htmlspecialchars通常用于防止脚本攻击，如当传递过来的数据带有<script>while (true) {alert('关不掉！'); } </script>脚本，在读取出来后会导致执行脚本代码，转换后会变成字符串输出，不执行代码。

F. 怎么使用htmlspecialchars()避免XSS

在PHP服务器端，对POST过来的值，进行实体化。用函数htmlspecialchars()进行过滤一下就可以了。
例如：
$name = htmlspecialchars($_POST['name']);

G. thinkphp里I方法过滤方法都有什么有看到过intval和htmlspecialchars，手册没见过，想知道所有过滤方法

你好,我所知道的:
1 strip_tags:从字符串中去除 HTML 和 PHP 标记

2 mysql_escape_string:转义一个字符串用于 mysql_query

这些函数在专防注入方面起到很大的作属用.

H. XSS 攻击时怎么绕过 htmlspecialchars 函数

绕不过。

所谓绕过就是挑程序员忘记正确转码的地方下手。

注意并版非htmlspecialchars就万事大吉，不同权的地方需要不同的转码。所以所谓绕过htmlspecialchars也可能指那个漏洞点用htmlspecialchars转码压根不正确。

I. 在html 中htmlspecialchars 是什么意思

htmlspecialchars是一个函数，功能是把html标签转化为字符串html

J. 怎么使用htmlspecialchars避免XSS

在PHP服务器端,对POST过来的值,进行实体化.用函数htmlspecialchars()进行过滤一下就可以了.
例如：
$name = htmlspecialchars($_POST['name']);