PHP过滤XSS攻击

最新推荐文章于 2023-07-18 09:30:46 发布
最新推荐文章于 2023-07-18 09:30:46 发布
阅读量355 收藏
点赞数
分类专栏: php 文章标签: XSS攻击 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yp4822063/article/details/52232468
版权 


static function remove_xss($val) {
   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
   $search = 'abcdefghijklmnopqrstuvwxyz';
   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
   $search .= '1234567890!@#$%^&*()';
   $search .= '~`";:?+/={}[]-_|\'\\';
   for ($i = 0; $i < strlen($search); $i++) {
     $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
     $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
   }
   $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
   $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
   $ra = array_merge($ra1, $ra2);

   $found = true; 
   while ($found == true) {
     $val_before = $val;
     for ($i = 0; $i < sizeof($ra); $i++) {
       $pattern = '/';
       for ($j = 0; $j < strlen($ra[$i]); $j++) {
         if ($j > 0) {
            $pattern .= '(';
            $pattern .= '(&#[xX]0{0,8}([9ab]);)';
            $pattern .= '|';
            $pattern .= '|(&#0{0,8}([9|10|13]);)';
            $pattern .= ')*';
         }
         $pattern .= $ra[$i][$j];
       }
       $pattern .= '/i';
       $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); 
       $val = preg_replace($pattern, $replacement, $val); 
       if ($val_before == $val) {
         $found = false;
       }
     }
   }
   return $val;
}

shuihuo叶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php实现XSS安全过滤的方法
12-19
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下: function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as // note that you have to handle splits with \n, \r, and \t later since they *a
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 188
【代码】PHP 过滤XSS攻击
什么是跨站脚本攻击(XSS)?如何在PHP应用程序中防止XSS攻击
最新发布
长风破浪会有时的博客
07-18 211
跨站脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网页中插入恶意的客户端脚本。当用户浏览被攻击的网页时,恶意脚本将在用户的浏览器中执行,从而导致攻击者能够窃取用户的敏感信息、篡改网页内容或进行其他恶意行为。请注意,以上方法只是一些常见的防御措施,但不能保证100%防止XSS攻击。使用安全的数据库查询:当将用户输入用于数据库查询时,使用参数化查询或预编译语句,以确保输入数据被正确转义。输出编码:在将用户输入的数据输出到网页时,确保进行适当的编码,以防止浏览器将其误认为是脚本。
如何在 PHP 中防止 XSS
allway2的博客
07-24 1997
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
Thinkphp防XSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1636
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
php处理xss攻击过滤.rar
01-18
PHP开发时,在网页端容易发起的xss攻击,针对于这类攻击提供一个封装的helper类方法进行内容过滤,减少受到的xss攻击。包含示例和封装方法。
整理php防注入和XSS攻击通用过滤
12-19
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...
PHP 防注入防XSS攻击入口过滤
04-15
PHP 防注入防XSS攻击入口过滤
php防注入和XSS攻击通用过滤
prefertea的博客
10-15 810
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
XSS攻击过滤【包括数据库、页面方面】
weixin_46742102的博客
09-28 535
/* * XSS攻击过滤 * 调用此方法字段 展示时需要用stripslashes() 清理从数据库或 HTML 表单中取回的数据 */ public static function clearXss($string = ''){ if (empty($string)) return ""; if (!get_magic_quotes_gpc()) { //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。 //这个是数据库层..
剔除危险的字符信息 防止 跨站脚本攻击
龚清林的博客
04-08 449
/** +---------------------------------------------------------- * 功能:剔除危险的字符信息 +---------------------------------------------------------- * @param string $val +--------------------------------
php 字符串安全过滤_PHP针对Xss跨域攻击以及sql注入等危险字符串过滤安全模块...
weixin_29179311的博客
03-09 321
由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。主要功能:拦截攻击者注入恶意代码,可以防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。/*** 安全模块* Email:[email protected]* 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤* @author hkshadow*/class safeMode{/*** ...
PHP 预防CSRF、XSS、SQL注入攻击(综合版)
chenrui310的博客
06-20 2543
【简约版】 主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。 一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息 1.输入验证 2.错误消息处理 3.加密处理 4.使用专业的漏洞扫描工具 二、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览...
php处理 xss方法,php实现XSS安全过滤的方法
weixin_33132553的博客
03-29 830
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // ...
关于XSS攻击及其防御
Wang的专栏
06-04 3606
【代码】关于XSS攻击及其防御。
php过滤xss,分享php过滤XSS攻击的函数
weixin_42509931的博客
03-11 437
分享php过滤XSS攻击的函数php过滤XSS攻击的函数是什么呢?以下是小编分享php过滤XSS攻击的函数,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!以下函数:过滤用户的`输入,保证输入是XSS安全的。例子:复制代码 代码示例:/*** 过滤XSS攻击* edit: www.jbxue.com*/function RemoveXSS($val) {// re...
php特定攻击,PHP过滤XSS攻击的函数
weixin_42469546的博客
03-25 167
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。// note that you have to handle splits with, , and later since they *are* allowed in some i...
PHP防止xss攻击
yang_ldgd的博客
08-16 569
phpxss攻击
PHP 举例xss攻击
06-07
下面是一个 PHP 中 XSS 攻击的例子: 假设有一个留言板的 Web 应用程序,用户可以通过输入留言内容来发布留言。应用程序将用户输入的留言内容存储在一个数据库中,并在 Web 页面中显示出来。下面是一个简单的 PHP 代码示例: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo $_POST['message']; ?></div> ``` 在上述代码中,我们通过 `$_POST` 获取用户输入的留言内容,并将其拼接到 SQL 插入语句中。由于没有对用户输入的数据进行任何验证和过滤,攻击者可以通过输入恶意代码来实现 XSS 攻击。例如,攻击者可以在留言内容中输入以下内容: ``` <script>alert('XSS Attack!');</script> ``` 这段代码会被插入到数据库中,并在 Web 页面中显示出来,从而实现恶意脚本的注入和执行。 为了避免 XSS 攻击,应该对用户输入的数据进行过滤和转义,例如使用 `htmlspecialchars()` 函数将特殊字符转义,或者使用输入验证来过滤恶意代码。例如,以下是对用户输入的留言内容进行转义和输出的示例代码: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $message = htmlspecialchars($message); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo htmlspecialchars($_POST['message']); ?></div> ``` 在上述代码中,我们使用 `htmlspecialchars()` 函数将用户输入的留言内容进行转义,以避免恶意脚本的注入和执行。同时,在输出留言内容时也要使用 `htmlspecialchars()` 函数对其进行转义,从而保证 Web 页面的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值