tp6 防止XSS攻击之表单提交安全校验

最新推荐文章于 2024-07-02 06:07:33 发布
最新推荐文章于 2024-07-02 06:07:33 发布
阅读量659 收藏 3
点赞数 1
文章标签: xss 前端 安全
ZK
本文链接:https://blog.csdn.net/Shanliangxiaobai/article/details/121956870
版权
"本文介绍了如何在ThinkPHP6(tp6)框架中进行后端安全措施,通过转化和过滤危险标签来防止SQL注入攻击。主要步骤包括利用tp6自带的安全特性,安装并使用HTMLPurifier插件,以及在appcommon.php中定义公共函数remove_xss()进行XSS过滤。在接收用户输入时,通过此函数处理数据,有效过滤掉潜在的危险标签,增强了系统的安全性。"
摘要由CSDN通过智能技术生成

对后端做安全措施:转化和过滤

首先:tp6框架已经自带转化危险标签

其次:使用tp6做过滤掉危险标签

安装 composer 安装插件来处理

composer require ezyang/htmlpurifier

安装成功以后在app下面的 common.php

放公共函数的地方添加如下代码

// 过滤危险标签:防SS攻击
if (!function_exists('remove_xss')) {

    //使用htmlpurifier防范xss攻击

    function remove_xss($string)
    {

        //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件

        // require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';

        // 生成配置对象

        $cfg = HTMLPurifier_Config::createDefault();

        // 以下就是配置:

        $cfg->set('Core.Encoding', 'UTF-8');

        // 设置允许使用的HTML标签

        $cfg->set('HTML.Allowed', 'div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');

        // 设置允许出现的CSS样式属性

        $cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');

        // 设置a标签上是否允许使用target="_blank"

        $cfg->set('HTML.TargetBlank', TRUE);

        // 使用配置生成过滤用的对象

        $obj = new HTMLPurifier($cfg);

        // 过滤字符串

        return $obj->purify($string);

    }
}

然后在接收值时使用该方法

$data = $request->post('','','remove_xss');

完成之后就会将危险标签过滤掉

小白打地基
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp6 防范xss攻击
qq_61302398的博客
01-16 1648
转化的思想防范xss攻击 转化的思想:将输入内容中的<>转化为html实体字符。 原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 TP框架中,可以设置在获取输入变量,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
网络攻击(SQL攻击、XSS、CSRF、DDos)
哈尼熊熊的博客
03-14 4135
1)   SQL注入攻击(SQLInjection)攻击方法: 攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令,恶意SQL被一起构造,并在数据库中执行。防范方法: 1.      检查变量数据类型和格式,过滤特殊语句和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。2.   ...
ThinkPhp6防止XSS攻击
Xian_Hu的博客
12-17 695
因为 tp6 框架已经自带转化危险标签 所以我们要进行过滤掉危险标签 第一步: 安装composer安装插件来处理 composer require ezyang/htmlpurifier 第二步: 将代码放置在公共文件中 // 过滤危险标签:防SS攻击 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string) { ...
ThinkPHP6接口安全
最新发布
2401_85969294的博客
07-02 320
在编写接口代码,要遵循最佳的安全编程实践,比如对用户输入进行严格的验证和过滤防止SQL注入、跨站脚本攻击(XSS)等常见安全问题。ThinkPHP6,作为当下热门的PHP开发框架,凭借其易用性和强大的功能,得到了广大开发者的青睐。一般来说随着应用的广泛部署,接口安全性问题也逐渐浮出水面,成为了我们不得不面对的挑战。在配置ThinkPHP6框架,我们要根据实际应用场景设置合理的安全参数,比如开启HTTPS、设置强密码策略、限制IP访问等。根据这个理论来推断的话,数据的安全性也是我们需要重点关注的。
tp6处理接口安全
m0_61928732的博客
03-15 555
中间件 public function handle($request, \Closure $next) { $token = $request->param('token'); $jwtService = new JwtService(); $decode = $jwtService->checkToken($token); if(!$decode) { echo "token无效"; die(); }..
ThinkPHP6 预防XSS攻击的一点小建议
u011415782的专栏
07-22 689
前几天,我们线上项目,出现一些恶意攻击行为;基本就是恶意用户在一些接口开放的参数上,最简单的处理方式,就是过滤处理请求参数。的代码,从而影响网站的正常访问。两边的标签,类似微博过滤效果。这是典型的XSS攻击行为。............
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2206
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
XSS攻击
qq7027的博客
12-15 2450
XSS攻击
xss漏洞学习小结,详不详细你说了算
MSB_WLAQ的博客
10-09 855
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 coo.
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
TP6中RBAC权限管理系统的前后端交互与数据传输加密
因此,基于角色的访问控制(Role-Based Access Control, RBAC)权限管理系统应运而生,它以角色为基础进行权限分配和管理,能够更好地控制系统资源的访问权限,提升了系统的安全性和管理效率。 ## 1.2 研究现状与...
PHP Remove _xss XSS过滤函数
10-14
PHP Remove _xss XSS过滤函数 一个比较严格的XSS过滤
关于ThinkPhp 框架表单验证及ajax验证问题
01-21
之前的表单验证都是用js写的,这里也可以使用tp框架的验证。但是两者比较而言还是js验证比较好,因为tp框架验证会运行后台代码,这样运行速度和效率就会下降。    自动验证是ThinkPHP模型层提供的一种数据验证方法,可以在使用create创建数据对象的候自动进行数据验证。验证的代码要写在模型层即Model里面。   数据验证有两种方式: 静态方式:在模型类里面通过$_validate属性定义验证规则。静态方式定义好以后其它地方都可以使用。 动态方式:使用模型类的validate方法动态创建自动验证规则。动态方式比较灵活,哪里使用就写,其它地方不可以使用。 无论是什么方式,验证规则的定义是
PHP常见的十个安全问题
weixin_49163826的博客
07-20 970
相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。 此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你做到这几点以后,就一定能避免你的网站出现任何问题。如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提高你的网站安全性 出于演示需要,代码可能不是很完美。日常开发过程中,很多代码都包含在了框架跟各种库里面。作为一个后台开
tp6表单验证
寂寥人生
07-12 646
和tp5的还是有点不同的 tp5 //接收参数 $params = input(); //表单验证 $validate = $this->validate($params, [ 'name|用户名' => 'require|tk', 'password|密码' => 'require|min:6|max:18', 'code|验证码' => 'req
thinkphp6 验证器使用防止取回语言包结果
这么多柠檬c
12-16 324
/** * 定义验证规则 * 格式:'字段名' => ['规则1','规则2'...] * * @var array */ protected $rule = [ 'duration_time' => ['number', 'require'], 'timeout' => ['number', 'require'], 'start_location' => ['number', 'require'], 'show.
tp6 后台表单验证
sangkaixin1的博客
08-06 226
$params = $request->get(); //表单验证 $validate = Validate::rule([ 'phone'=>'require' ]); if (!$validate->check($params)){ return Response::create(['error_code'=>500,'msg'=>$validate->get...
tp6防范xss攻击的几种方法
Follow_found的博客
01-13 3232
首先配置一个get方法的路由,方便我们查看效果 路由: Route::get('script','goods/script'); 页面的地址栏: 控制器的方法: public function script(){ $data = \request()->get('name'); echo $data; } 按照以上的配置完成后,页面先弹出一个“xss攻击”的弹框,点击确定后会在页面输出123; 接下来我们来谈一谈防范xss攻击的三种方.
TP6的注意事项
黄啊码
05-27 582
create()可以默认根据主键插入 save()需要指定id名称叫做id,create不需要 获取自增id $insert_data=$this->model->create($data); echo$insert_data->id;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值