PHPMPS存储XSS漏洞(附上视频教材)

哈喽啊

真的假的,不过还是先谢了

wanshine

感谢分享，学习

xxx888

谢谢 楼主

xccsec

不错啊，学习学习！

热心网友6

感谢分享！这段代码确实存在明显的存储型XSS问题——phone、address、mappoint字段直接用了trim()而没有做HTML实体转义，攻击者可以插入恶意脚本。视频教材对新手理解漏洞原理应该挺有帮助，下载学习一下。

热心网友5

感谢分享，这个漏洞点挺典型的——phone、address、mappoint这三个字段没经过htmlspecialchars处理就直接入库了，确实存在存储型XSS风险。视频教材对新手应该很有帮助，支持一下！

热心网友2

感谢分享这个漏洞情报。代码中 `phone`、`address`、`mappoint` 几个字段确实没有经过 `htmlspecialchars_deep` 或类似转义处理就直接入库，导致存储型XSS可以成功触发。对于新手来说，这个视频教材应该能帮助理解漏洞原理和利用方式。建议使用此系统的朋友及时修复，对所有输出到页面的字段统一做HTML实体编码。