要对用户输入进行过滤以避免潜在的XSS攻击，我们可以对用户名和内容应用一些简单的规则。以下是修改后的PHP代码，包含了对用户输入的过滤：


```php
<?php


// 追加方式打开文件


$fp = fopen('message.txt', 'a');




// 设置时间


$time = time();




// 从POST请求中获取用户名和内容


$username = isset($_POST['username']) ? trim($_POST['username']) : '';


$content = isset($_POST['content']) ? trim($_POST['content']) : '';




// 过滤用户名：长度少于20，且不包含@之外的特殊字符


$username = substr($username, 0, 20); // 限制长度


$username = preg_replace('/[^\w@]/', '', $username); // 只允许字母、数字、下划线和@




// 过滤内容：长度少于100，且不包含可以被解释为命令或代码的字符


$content = substr($content, 0, 100); // 限制长度


// 以下正则表达式是一个示例，可能需要根据实际情况调整


$content = preg_replace('/<[^>]*>/', '', $content); // 移除HTML标签


$content = htmlspecialchars($content, ENT_QUOTES, 'UTF-8'); // 转换特殊字符为HTML实体




// 组合写入的字符串：内容和用户之间分开，使用$#行与行之间分开，使用&^


$string = $username . '$#' . $content . '$#' . $time . '&^';




// 写入文件


fwrite($fp, $string);




// 关闭文件


fclose($fp);




// 重定向到index.php


header('Location: index.php');


exit; // 确保在重定向后停止脚本执行
?>
```


在这个修改后的代码中，我们做了以下几点改进：


1. **用户名过滤**：使用 `preg_replace` 函数移除除了字母、数字、下划线和`@`之外的任何字符，并且限制了用户名的长度为20个字符以内。


2. **内容过滤**：使用 `preg_replace` 函数移除了所有的HTML标签，以防止任何潜在的HTML注入攻击。然后，使用 `htmlspecialchars` 函数将任何特殊字符转换为它们的HTML实体，这可以防止大多数的XSS攻击。


3. **长度限制**：对用户名和内容都设置了长度限制，以防止过长的输入。


4. **重定向后停止脚本执行**：在 `header` 函数调用后添加了 `exit` 语句，以确保在进行重定向后，脚本的执行被立即停止。


请注意，这个代码示例假设你已经有了适当的安全措施来处理其他的安全问题，比如SQL注入和文件包含攻击。安全是一个多层次的问题，需要从多个角度进行考虑。




--
FROM 117.129.67.*