※ 引述《DarkKiller (System hacked)》之銘言:
: 推 Masakiad: 舉例過時了吧?php很少人這樣寫了 02/23 14:20
拿最紅的 Laravel 來講好了。
因為 Laravel 的 Blade 不有支援這些特殊的 escape,你必須知道這些概念後才
能自己寫 extension/plugin 產生正確的 escape。
: 1. htmlspecialchars($data) 或是 htmlentities($data)。
這是標準版,Blade 的預設值。
: 2. htmlspecialchars($data) 或是 htmlentities($data)。
這也是標準版,double quote 裡面的東西要 escape 是常忘的項目。
: 3. htmlspecialchars(urlencode($data)) 或是 urlencode($data)。
這邊處理的例子是 "+",只用 htmlspecialchars() 會導致 "+" 沒有被 escape,
而傳入變數裡會變成 " " (空白),這邊要用 urlencode() 才會正確的被 escape
,但因為放到 html 裡面,所以要用 htmlspecialchars() 包起來。
另外因為 urlencode() 會處理 htmlspecialchars() 的五個特殊字元:
php > echo urlencode("\"'&<>");
%22%27%26%3C%3E
所以這邊會說 htmlspecialchars() 可以省略。
用 Blade 的人需要「另外安裝套件」來處理:
https://github.com/laravelgems/blade-escape
: 4. htmlspecialchars(json_encode($data))。
如果 3. 可以理解,這個就比較簡單。
不管是 array 還是 object,包起來以後用 json_encode() 打包,然後因為放到
html 裡面,所以過一次 htmlspecialchars()。
然後上面提到的 https://github.com/laravelgems/blade-escape 在這邊沒辦法
用,因為程式碼只能處理字串:
https://github.com/laravelgems/blade-escape/blob/master/src/Providers/BladeEscapeServiceProvider.php
https://github.com/laravelgems/escape/blob/master/src/HTML.php
: 5. json_encode($data)。
這個是裡面最複雜的,也因為學到這個 XSS 技巧後,之後我寫 html js 的 best
practice 都一定是:
<!doctype html>
<body>
<script>
<!