PHP HTTP 认证

近日xss火爆，有用php http认证方式进行钓鱼的。

官方例子：

<?php
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
  } else {
    echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
    echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
  }
?>

以这种方式，将用户认证输入的用户名，密码，保存到一文件或数据库

然后在各可能存在xss的地方插入以上文件即可，当用户访问时就会弹出一验证框。

测试：http://www.wzhzd.com/read.php?tid=659&ds=1&page=1&toread=1#tpc 

目前在很多大型网站都存在这种问题。