Coverity程式碼弱點掃描修正_PHP_XSS

https://www.hitachi-solutions.co.jp/coverity/



 Coverity是一套用於靜態程式碼白箱弱點掃描的軟體
https://scan.coverity.com/










PHP當中若遇到類似要將url給render出來的一些function
通常只需要在外包覆


urlencode(htmlspecialchars(回傳URL的程式段落可能是函數))





若是涉及url連結開啟的href,src或者js/jquery dom 操作一律用
urlencode(htmlspecialchars(URL回傳內容))來包覆




htmlspecialchars
將 HTML 符號變成不可執行的符號
大於(>)小於(<)符號、單引號(‘)或雙引號(“”)及&字元


urlencode
針對URL相關資料或參數進行編碼



例如:
<?php echo urlencode(htmlspecialchars(會回傳URL函數())); ?>

反之其他輸出情況
若不允許html有效可直接用來防止非預期的輸出或惡意腳本渲染

<?php echo htmlspecialchars(某PHP函數(),ENT_QUOTES,’UTF-8’);?>
(備註:預設htmlspecialchars($string)只轉化雙引號,不對單引號做轉義。



留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header