PHPCMS2008问吧模块安全漏洞的解决办法

概述PHPCMS2008问吧模块安全漏洞的解决办法检查/ask/show.php发现，存在如下脆弱语句 $posts['message'] = $M['use_editor'] ? $posts['message'] : strip_tags($posts['message']); 其中如果使用了在线编辑器，则不会对页面中的html代码进行过滤！这样XSS、iframe攻击将变得轻而易举！！ 并且这样的情…

PHPCMS2008问吧模块安全漏洞的解决办法

检查/ask/show.PHP发现，存在如下脆弱语句

$posts['message'] = $M['use_editor'] ? $posts['message'] : strip_Tags($posts['message']);

其中如果使用了在线编辑器，则不会对页面中的HTML代码进行过滤！这样XSS、iframe攻击将变得轻而易举！！
并且这样的情况在show.PHP、query.PHP、question.PHP中全部存在。
解决办法很简单，对$posts['message']中的HTML代码进行安全过滤。

function stripDangerHTML($str){
$pattern = array(
"/s+/",
"/<(/?)(script|i?frame|style|HTML|body|Title|link|Meta|?|\%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",
);
$replacement = array(
" "," ","[url=file://12]12[/url]",
);
$safeStr = preg_replace($pattern,$replacement,$str);
return $safeStr;
}

总结

以上是内存溢出为你收集整理的PHPCMS2008问吧模块安全漏洞的解决办法全部内容，希望文章能够帮你解决PHPCMS2008问吧模块安全漏洞的解决办法所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。