360扫描网站揭示有漏洞

function escape($value)
{
    $value = is_array($value) ? array_map('escape',$value):htmlspecialchars(trim($value));
    return get_magic_quotes_gpc()?$value:addslashes($value);
}
$_GET     = array_map('escape', $_GET); 
$_POST     = array_map('escape', $_POST); 
$_COOKIE     = array_map('escape', $_COOKIE); 
$_REQUEST     = array_map('escape', $_REQUEST);

------解决方案--------------------
addslashes是过滤单引号和NULL字符的, 对标签根本无效, 要展示给用户的非文档内容一律htmlspecialchars.

------解决方案--------------------
很明显是你根据用户提交的k拼接JS代码的时候出问题了, 估计你是希望将用户提交的key拼给JS动态展示给用户, 仔细检查JS拼接那里是否使用了htmlspecialchars吧. 

                 
              
              
        
            
php入门到就业线上直播课：查看学习
声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn核实处理。
前端(VUE)零基础到就业课程：点击学习
清晰的学习路线+老师随时辅导答疑
自己动手写 PHP MVC 框架：点击学习
快速了解MVC架构、了解框架底层运行原理
专题推荐：REQUEST addslashes value htmlspecialchars escape

			   上一篇： [转载]关于php时区时间异常有关问题                下一篇：自己动手写 PHP MVC 框架(40节精讲/巨细/新人进阶必看)