过滤HTML语法是否阻止通过文本框删除web shell？

Question

我有一个管理面板，正在运行mysql。在该面板上，我有文本框，允许"Admin“输入纯文本或HTML样式，这些文本或HTML样式将显示在站点的活动部分。例如，用户可以在标题文本框中输入以下内容；

<b>The 'Rory' jumped over the moon</b>

文本框设置为只允许特定的html语法。

这是否防止通过文本框将web外壳拖放到web服务器上？

• 有办法绕过过滤吗？
• 如果您操纵DB中的数据，它会允许php运行吗？

Answer 1

这是非常不可能是一个可行的途径，以放弃一个网络外壳。输入可能存储在数据库中，而不是文件中，因此解释器(ASP、PHP等)不会将其作为源代码处理。如果过滤器不够严格，一个更有可能的攻击矢量是跨站点脚本。

编辑以回答后面添加的两点：

• 如果不分析源或试图绕过源，就无法知道是否可以绕过过滤器。
• 了解web服务器如何调用PHP解释器。在大多数情况下，web服务器根据文件的扩展名调用适当的解释器(例如，.php调用PHP解释器)。web服务器不直接从数据库检索内容，因此不能对数据库内容调用解释器。如果一个PHP页面从数据库中检索用户定义的字符串并对它们进行eval，就会存在漏洞。我希望您能够理解这种情况是多么的不可能发生。

这个答案的最短形式:也许不会，但如果你不相信我，就试试吧。