Form将数据存储在mysql数据库中——XSS漏洞

Question

我有一个带有一个文本区域字段的表单。该字段设置为接受任何内容，并在提交时将输入存储在数据库中。然后，该代码将作为 URL 公开，例如：domain.com/asd。我没有进行任何类型的 strip_tags、htmlentities 或任何类型的 xss 预防。

我的问题是，这可能会造成什么危害。用户是否可以在输入或输出期间执行任何类型的 xss 以从数据库获取信息。

Answer 1

XSS 不会对您的服务器进行任何攻击，而没有 XSS 就不可能发生这种攻击。 XSS 的作用是让未经授权的用户充当授权用户。如果您的网站没有用户身份验证，XSS 通常不会构成威胁。

Answer 2

您可能面临存储型 xss 攻击、存储型跨站脚本攻击的严重威胁：

当恶意用户可以存储一些攻击，这些攻击稍后会针对其他不知情的用户调用时，就会出现存储的跨站点脚本漏洞。攻击实际上存储在某个方法中以便稍后执行。

因此，如果恶意代码位于文本区域并且您存储了它。稍后，当您显示数据库中存储的数据时，就像您正在正确执行代码一样。除此之外，每当您在 SQL 查询中使用文本区域中的数据时，还有很多其他方法可以使用您的数据库。

Answer 3

当您接受用户的输入时，您至少应该：

• 对于数据库使用 PDO 来防止 SQL 注入。
• 使用过滤器来防止XSS

，否则你的代码将非常不安全。

我建议您阅读 OWASP 以了解有关许多漏洞的更多信息。尤其是 OWASP Top 10 页面是必读的。