1、新建文件,编辑一下代码:
<?php
if (isset($_POST['name'])){
$str = $_POST['name'];
echo $str;
}
?>
<form method="post" action="">
<input name="name" type="text">
<input type="submit" value="提交" >
</form>
浏览器打开,效果如下
2、输入普通内容,例如“wzl",提交效果见图:
3、如果是攻击者,我可能输入“<script>alert('你真傻,真的')</script>”,效果会怎么样呢:
这种情况就是典型的xss攻击。
4、处理方式是使用htmlspecialchars函数将字符内容转换成html实体,编辑文件代码如下:
<?php
if (isset($_POST['name'])){
$str = htmlspecialchars($_POST['name']);
echo $str;
}
?>
<form method="post" action="">
<input name="name" type="text">
<input type="submit" value="提交" >
</form>
