PHPCMS2008问吧模块安全漏洞的解决办法

发布时间：2020-12-14 03:48:03 所属栏目：Dedecms 来源：网络整理

导读：PHPCMS2008问吧模块安全漏洞的解决办法检查/ask/show.php发现，存在如下脆弱语句 $posts['message'] = $M['use_editor'] ? $posts['message'] : strip_tags($posts['message']); 其中如果使用了在线编辑器，则不会对页面中的html代码进行过滤！这样XSS、ifr

检查/ask/show.php发现，存在如下脆弱语句

$posts['message'] = $M['use_editor'] ? $posts['message'] : strip_tags($posts['message']);

其中如果使用了在线编辑器，则不会对页面中的html代码进行过滤！这样XSS、iframe攻击将变得轻而易举！！
并且这样的情况在show.php、query.php、question.php中全部存在。
解决办法很简单，对$posts['message']中的HTML代码进行安全过滤。

function stripDangerHtml($str){
$pattern = array(
"/s+/",
"/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",
);
$replacement = array(
" "," ","[url=file://12]12[/url]",
);
$safeStr = preg_replace($pattern,$replacement,$str);
return $safeStr;
}

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!