Coverity程式碼弱點掃描修正_PHP_XSS
https://www.hitachi-solutions.co.jp/coverity/
Coverity是一套用於靜態程式碼白箱弱點掃描的軟體
https://scan.coverity.com/
PHP當中若遇到類似要將url給render出來的一些function
通常只需要在外包覆
urlencode(htmlspecialchars(回傳URL的程式段落可能是函數))
若是涉及url連結開啟的href,src或者js/jquery dom 操作一律用
urlencode(htmlspecialchars(URL回傳內容))來包覆
htmlspecialchars
將 HTML 符號變成不可執行的符號
大於(>)小於(<)符號、單引號(‘)或雙引號(“”)及&字元
urlencode
針對URL相關資料或參數進行編碼
例如:
<?php echo urlencode(htmlspecialchars(會回傳URL函數())); ?>
反之其他輸出情況
若不允許html有效可直接用來防止非預期的輸出或惡意腳本渲染
<?php echo htmlspecialchars(某PHP函數(),ENT_QUOTES,’UTF-8’);?>
(備註:預設htmlspecialchars($string)只轉化雙引號,不對單引號做轉義。
留言
張貼留言