【PHPLib】XSS过滤类

最新推荐文章于 2023-12-26 11:01:22 发布
最新推荐文章于 2023-12-26 11:01:22 发布
阅读量158 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billfeller/article/details/8085816
版权
<?php
class Project_Env {

    public function __construct() {}
    public function __destruct() {}

    /**
     * 获得'$_GET', '$_REQUEST', '$_POST', '$_COOKIE', '$_SERVER'参数值
     * 利用PHP魔术方法__callStatic,须PHP 5.3.0及以上支持
     *
     * @access public
     *
     * @param string $idx   索引值
     * @param int $isHack   TRUE OR FALSE,TRUE的时候代表开启过滤,否则不开启
     * @return string
     * @example
     * 1、获取$_GET参数:Project_Env::get('id', false);
     * 2、获取$_POST参数:Project_Env::post('id');
     * 3、获取$_REQUEST参数:Project_Env::request('id');
     * 4、获取$_COOKIE参数:Project_Env::cookie('id');
     * 5、获取$_SERVER参数:Project_Env::server('PHP_SELF');
     */
    public static function __callStatic($func, $args) {

        // 是否开启XSS过滤,默认开启
        $isHack = TRUE;
        $dict = array('$_GET', '$_REQUEST', '$_POST', '$_COOKIE', '$_SERVER');

        // 索引值判断,不能为空
        if(!isset($args[0])){
            return '';
        }

        $idx = $args[0]; // 索引值

        // 是否启用XSS过滤
        if(isset($args[1])){
            $isHack = (bool)$args[1];
        }

        // 函数名大写
        $func = '$_' . strtoupper($func);

        // 函数名不是指定的,返回空值
        if(!in_array($func, $dict)){
            return '';
        }

        eval("\$var = $func;"); // 不使用可变变量的原因:在PHP的函数和类的方法中,超全局变量不能用作可变变量

        if(!isset($var[$idx]))
            return '';

        if($isHack){
            return self::_hack($var[$idx]);
        }
        return $var[$idx];
    }

    private static function _hack($val) {
        if(is_array($val)) {
            array_walk_recursive($val, 'self::filter');
        } else {
            $val = self::filter($val);
        }
        return $val;
    }

    /**
     * 去掉string中不安全因素
     *
     * @access public
     *
     * @param string $val
     * @return string $val
     */
    public static function filter(&$val) {
        $val = htmlspecialchars($val);
        return $val;
    }
}

$username = Project_Env::get('username');
echo $username;
billfeller
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx简单的安全性配置
iOS逆向与安全
08-31 242
Nginx本身并不具备复杂的防火墙规则定制或者实时监控功能,它主要是作为一个HTTP和反向代理服务器。如果你需要更强大的安全防护,需要考虑使用其他专业的防火墙或WAF(Web Application Firewall)解决方案。这些配置应该放在Nginx配置文件中的http或server块中。记得每次修改配置文件后,都需要重新加载或重启Nginx以使配置生效。
php面试宝典
qq_35396905的博客
08-29 816
Include和require的区别 区别一 Include引入文件的时候,如果碰到错误,会给出提示,并继续运行下边的代码。 Require引入文件的时候,如果碰到错误,会给出提示,并停止运行下边的代码。 区别二 用法上却有一些不同,include是有条件包含函数,而require则是无条件包含函数 Include 是比较松一点的‘包含’,如:文件不存在也不会出现什么问题,程序还可以往...
2023年全球最受欢迎的前十个PHP框架
WPHunter的编程技术资料库!
12-26 2064
一般情况下,PHP程序员经常会借助PHP框架来编写代码,而不是从零开始。那么什么是PHP框架,为什么要使用它们,及与大家分享一些最受欢迎的PHP框架。
php面试题
qq_41818626的博客
01-06 383
一、php是什么,和jsp的区别 1、php和jsp的语言比较 PHP是一种专为Web开发而设计的,解释执行的服务器脚本语言,它大量地借用C和Perl语言的语法,具有简单容易上手的特点,所以学过c语言的都可以很快的熟悉php的开发。 JSP是一种服务器端编程技术,有助于创建动态网页。它是以Java语言作为脚本语言,结合HTML语法的;熟悉JAVA语言和HTML语法的人可以很快上手。 但java不光要需要学习语法,好用熟悉一些核心的库,了解、掌握面向对象的相关知识。java要比PHP难学,因而JSP
PHP面试题2021进大厂必看题型
weixin_55305220的博客
05-09 911
一、单选题(共29题,每题5分) 1.PHP执行的时候有如下执行过程:Scanning(Lexing) - Compilation - Execution - Parsing,其含义分别为: A、将PHP代码转换为语言片段(Tokens)、将Tokens转换成简单而有意义的表达式、顺次执行Opcodes、将表达式编译成Opocdes B、将PHP代码转换为语言片段(Tokens)、将表达式编译成Opocdes、顺次执行Opcodes、将Tokens转换成简单而有意义的表达式 C、将PHP代码转换为语
PHP 经典
weixin_44432032的博客
10-24 749
1、表单提交中的Get和Post的异同点 get 请求一般用于向服务端获取数据,post 一般向服务端提交数据 get 传输的参数在 url 中,传递参数大小有限制 get 不安全,post 安全性比get高 get是显式的,数据从url中可以看到,传输的数据量小,安全性低; post是隐式的,传送的数据量较大,安全性较高 2、echo(),print(),print_r()的区别 echo是PHP语句, print和print_r是函数,语句没有返回值,函数可以有返回值 print() 只能打印出简单
安全规范
zzq156532的博客
12-18 786
编码安全 安全编码定义了一套可以集成到开发生命周期中的通用软件安全编码规范。采用这些规范将减少最为常见的安全漏洞,也可以作为在代码review时安全checklist名单 输入验证 认为所有客户端传输的数据皆不可信,验证所有来自客户端的数据,包括: 所有请求参数 URL HTTP 头信息(比如:cookie 名字和数据值) 环境信息 上传文件 验证正确的数据型,数据范围,数
30道干货php面试题
i小明同学的博客
08-12 514
以下推荐一些面试常见的试题,希望对你有用!! 1、冒泡排序,面试前一定要记住哦! 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 function maopao($arr) { $len = count($...
phplib+smarty手册
11-11
5. **变量安全**:对变量进行预处理和过滤,防止XSS攻击。 6. **模板资源管理**:支持多种模板来源,如文件、数据库等。 7. **模板编译**:Smarty 将模板转换为PHP代码并编译,提高了执行效率。 接下来我们看看 `...
PHP知识点整理(1)
qq_21736743的博客
05-21 748
1.解释mvc (1)mvc即 模型model,视图view,控制器controller;是一种模型,是一种编程思想,就是把一个应用的输入、输出、数据处理分开,分解耦合 (2)A..视图,数据采集和处理,和用户请求,不包括业务流程,smarty实现B.模型,接收数据和请求,完成相关数据处理,返回数据,’黑箱‘操作,核心,php库实现C.控制器,任务的实现,根据传入数据调用各种组件完成任务,将结果传给视图显示,业务流程的实现。 (3)mvc的优点:使开发人员只关注某一层,很容易用新代替旧层次的实现,低
PHP 最新精品面试题
weixin_43681591的博客
01-13 2899
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天的订...
常用芯片手册芯片资料MAX260常用芯片手册芯片资料MAX260
最新发布
08-31
常用芯片手册芯片资料MAX260常用芯片手册芯片资料MAX260提取方式是百度网盘分享地址
常用芯片手册芯片资料82530常用芯片手册芯片资料82530
08-31
常用芯片手册芯片资料82530常用芯片手册芯片资料82530提取方式是百度网盘分享地址
全国互联网网民数和互联网普及率.xlsx
08-31
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141286857 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 各省、地级市、区县互联网普及率、宽带接入户数和电话用户数等 1、全国互联网网民数和互联网普及率(1997-2020年); 2、各省互联网网民数和互联网普及率(1997-2016年); 3、地级市互联网宽带接入用户(1996-2020年); 4、各区县电话用户数(2004-2019年)
SQLAlchemy-2.0.30-cp37-cp37m-musllinux_1_1_x86_64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 来表示数据库表,使用的实例表示表中的行。 开发者可以定义之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
百度云/百度网盘Python客户端
08-31
极简说明 安装: pip install bypy 运行: bypy 这是一个百度云/百度网盘的Python客户端。主要的目的就是在Linux环境下(Windows下应该也可用,但没有仔细测试过)通过命令行来使用百度云盘的2TB的巨大空间。比如,你可以用在Raspberry Pi树莓派上。它提供文件列表、下载、上传、比较、向上同步、向下同步,等操作。
2010-2021年省级碳排放和分行业二氧化碳排放数据(全新整理)
08-31
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141286902 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 分行业二氧化碳排放量 数据来源:中国能源统计等 时间范围:1994-2021年 指标:八能源和总量
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值