防XSS攻击

什么是XSS攻击

代码实例：

XSS原理重现

'.$xss; // echo '你输入的字符为
'.""; ?>

注意：如果要表单提交数据到自己页面，action就设置为空

如果我们在表单中输入的是""，那么，我们接收到的结果就是

echo '你输入的字符为
'."";

于是就弹出了alert框，相当于就修改了程序。除了这些，还能制造其他麻烦，刷新或重定向，损坏网页或表单，窃取cookie，AJAX(XMLHttpRequest)。

注意：有些浏览器自身可以识别简单的XSS攻击字符串，从而阻止简单的XSS攻击；例如chrom，我在chrom中做实验的时候，就会自动阻止，但猎豹浏览浏览器就不行。

XSS（Cross Site Scripting）攻击的全称是跨站脚本攻击，跨站脚本攻击的方式是恶意攻击者在网页中嵌入恶意脚本程序，当用户打开网页的时候脚本程序便在客户端执行，盗取客户的cookie及用户名和密码，下载执行病毒及木马程序，甚至获得客户端的admin权限等。

从根本上说，解决办法是消除网站的XSS漏洞，这就需要网站开发者运用转义安全字符等手段，始终把安全放在心上。

简单点，就是过滤从表单提交来的数据，使用php过滤函数就可以达到很好的目的。

htmlspecialchars() 函数

代码实例：

htmlspecialchars() 函数相当于单引号的功能，不会进行解释，你输入什么就是什么，和防SQL注入很类似。