xss在平时的测试中，还是比较重要的，如果存在储存型xss，就可以做很多事情了，打cookie，添加管理员等等很多操作。

以下所有代码都是我自己写的，可能有不美观，代码错误等等问题，希望大家可以指正。

漏洞讲解

这是一个输入框

在里面写入经典弹窗代码

点击提交，再进入index.php

就会出现弹窗代码

这里，补充一下前面用到的代码

其原因就在于，没有对输入进行过滤，直接存入了数据库

简单修复

只需要在传入的时候对内容进行过滤就可以了

这里我们主要使用的是htmlspecialchars()函数，这个函数可以将其内容转化为HTML实体，就完美的防止了xss漏洞

我们只需要在插入数据库的时候对其进行处理就可以了

此时，看一下效果

这时，已经不弹窗了

此时的标签已经被转义成HTML实体了

拓展

其实xss的作用还是特别大的，绝对不仅限于打cookie等等，之前看到一个比较有意思的文章，说是骚姿势在后台一顿乱爬，其实质就是利用xss再结合一些其他的东西才达到的，所以说，思路一定要开阔，不要仅限于一个漏洞本身的那几个利用点

文章首发公众号：无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记，个人成长的公众号

扫码关注即可