php 单页面登陆注册实例,附 XSS 攻击试验实例

已于 2022-01-22 01:19:55 修改
阅读量588 收藏 2
点赞数
分类专栏: 笔记 文章标签: php xss 服务器
于 2021-10-13 16:49:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dai510131/article/details/120746838
版权

1.php 单页面登陆、注册试验程序
包括前后端验证,后端防 XSS 攻击,不包括 SQL 注入内容;密码散列值(hash)的创建与哈希验证。

/* 这是 php 官方推荐的密码处理函数 */
password_hash() //创建密码的散列(hash)
password_verify() //验证密码是否和指定的散列值匹配。

程序如下,分三部分:php 部分、html部分和javascript部分:

<?php
/**
 * php 后端程序部分 #############################
 * 
 */
 
class manage{
   
    
    /**
     * 对 POST 请求进行过滤
     * 
     */
    public static function post($input){
   
        
        // 功能:既转换双引号也转换单引号。
        // 这是 php 防范 SQL 注入的,但是太简单了,
        // 防 SQL 注入比较有效的方法是:
        // 1.使用 PDO 的数据绑定;
        // 2.尽量使用 MySQL 的视图;
        // 3.尽量使用 memcache、redis 作为数据缓存;
        // 4.如果是像博客等这样的非时效性内容程序,第一次读取数据库,可以把页面缓存到磁盘或者内存中,
        //   以后的 SQL 请求,直接读取缓存文件,既能提高并发能力,又能防 SQL 注入。
        $str = htmlspecialchars($_POST[$input], ENT_QUOTES);
        return substr($str, 0, 30);
    }
    
    /**
     * 对 GET 请求进行过滤
     * 
     */
    public static function get($input){
   
        $str = htmlspecialchars($_GET[$input], ENT_QUOTES);
        return substr($str, 0, 30);
    }
    
    /**
     * 如果用上面的 POST、GET 过滤觉得万事大吉了,
     * 那也不一定够用,因为可以把非法代码进行各种
     * 形式的编码,使漏洞防不胜防。
     * 
     * 请参考下面的链接到 XSS 速查表,替换一些特征
     * 字符,把漏洞降到最低水平。
     * https://www.freebuf.com/news/153055.html
     */
    public static function customFilter($str){
   
        
        /**
         * 字符串替换函数替换敏感字符串
         */
         
        //搜索字符串示例
        $findStr = array(
            '%' //防十六进制编码
            //...省略
            );
            
        //替换字符串
        $replaceStr = array(
            ''
            //...省略
            );
            
        $str1 = str_replace($findStr, $replaceStr, $str);
        
        /**
         * 正则表达式替换敏感字符
         * 
         */
         
        //正则搜索字符串示例
        $patterns = array(
            '/javascript:/i',
            '/<script.*\/script>/i'
            //...省略
            );
            
        //替换字符串
        $replacements = array(
            '[forbid]',
            '[forbid]',
            //...省略
            );
            
        return preg_replace($patterns, $replacements, $str1);
        
    }
}

//就当数据库来用
$file = 'data.txt';
 
//【1】登陆处理
if(filter_has_var(INPUT_POST, "isVerify")){
   
    $isVer = manage::post('isVerify');
    if($isVer === 'display'){
   
        $email = manage::post('email');
        $pass  = manage::post('pwd');
        
        // filter 过滤器进行邮箱合规性检查
        if(!filter_var($email, FILTER_VALIDATE_EMAIL<
最低0.47元/天 解锁文章
冰雪青松
关注
专栏目录
PHP 面试知识点整理归纳
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
PHP页工作室网站-销售展示系统 v1.0.rar
07-10
一款PHP环境的页网站程序,原型是一个主机销售展示系统,适用于工作室,企业网站,主机商等简的展示   模版完美自适应,适配平板、手机等设备基本设置有网站名称,标志,关键词等管理产品管理有产品属性,价格展示,购买地址等管理客户案列有图片,介绍等管理,还拥有留言发送到电子邮箱等功能。   安装方法:   1.将压缩包里的500PHP.sql导入MYSQL数据库   2.修改admin\include\connection.php数据库信息   3.上传压缩包除了500php.sql所有文件   4.访问你的网站/admin,账号和密码admin
php 页,php
weixin_36019375的博客
03-18 252
异步调用 功能说明 桶相关接口和对象相关接口均支持以“Async”结尾的方式进行异步调用(例如,同步方法为ObsClient->putObject,则异步方法为ObsClient->putObjectAsync)。异步调用完成后会将返回结果输出到回调函数中,回调函数依次包含SDK合并段 功能说明 通过分段上传任务的ID,合并指定桶中已上传的段。 方法定义 1. ObsClient-&g...
php登陆实现方案,[php点登录解决方案]纯基于PHP登陆
weixin_33922644的博客
03-18 510
篇一 : 纯基于PHP登陆【引自纯月的博客】Discuz有一个通行证,类似于登陆。不过我觉得登陆最好应该是一个独立的程序,和CAS一样。由于所有的程序都是PHP的,所以就做了一个简登陆。借用了一下discuz的加密方法。用户有以下几种情况会直接访问本系统:1、用户直接访问passport,希望登陆2、用户从passport_app上点击登陆按钮转过来的3、用户从passpor...
php开始页,php静态页生成过程
weixin_39709178的博客
03-09 96
一直用smarty的cache,但感觉还是要自己做一个,才有感觉。网上有很多牛人的功能比较完备,打算先自己搞简的再慢慢丰满。这两天做了一个比较简的,在hi.baidu.net/alex_wang58记录一下。一、用到的相关技术关键词:PHP,Apache,mod_rewrite(RewriteCond,RewriteRule)地址重写,ob系列函数缓冲file_put_contents生成...
php 页面应用,基于 Vue Router 构建页面应用项目骨架
weixin_36479862的博客
04-05 157
今天开始,学院君将花几个篇幅的教程给大家快速过一下如何基于 Laravel 框架进行页面应用开发。一、初始化项目和前端依赖开始之前,先通过如下步骤初始化一个新的 Laravel 项目作为页面应用演示项目:// 1、初始化 Laravel 项目laravel new demo-spa// 2、安装 laravel/ui 扩展包cd demo-spacomposer require larave...
关于web安全之sql注入攻击
JSsomnus'sky
10-12 2448
前言:①这个晨讲我构思了两个星期,但是之前电脑坏了,一直拖到昨天才开始着手准备,时间仓促,         能力有限,不到之处请大家批评指正;       ②我尽量将文中涉及的各种技术原理,专业术语讲的更加通俗易懂,但这个前提是诸位能看得懂         基本的SQL语句(想想海璐姐你就懂了);        ③本晨讲形式为PPT+个人演讲+实际演示,但因为TTS征文限制
网络安全专业名词解释
aixmmmlll的博客
05-16 3913
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
渗透理论概述
Auscoo111的博客
10-23 4737
渗透入门——术语概述 常见术语 渗透流程 明确目标——信息收集——漏洞探测——漏洞验证——编写报告 ——信息整理——获取所需——信息分析 脚本:动态网站(asp,php,jsp), linux, python 网站:静态网站(与后台交互比较少,如html) 动态网站(使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台lin...
PHP实现的简登录界面
10-04
PHP实现登录界面,给服务器搭建人员进行参考,本人使用过,可以满足正常需求。
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
php页应用,前端页应用的路由系统 – 介绍篇
weixin_33542859的博客
03-19 222
页应用为了你能看懂这篇博客之后的所有内容,你必须知道什么是页应用。简的讲,链接跳转时界面不会刷新应用就是页应用。它的特点是,用户在浏览或者点击跳转的时候感觉不到界面的跳转过程,因为无需等待,所以能极大的提高用户的体验。它的发展大致可以分为三个阶段。第一阶段:没有ajax的时代这个时间段,页应用还没普及,网站大多采用传统的服务端渲染。每一个url、每一个表提交,服务端都会返回一个完整的H...
php 点登录实现代码,PHP实现点登录功能示例
weixin_33957278的博客
03-26 494
1.准备两个虚拟域名127.0.0.1 www.openpoor.com127.0.0.1 www.myspace.com2.在openpoor的根目录下创建以下文件index.PHP123456789101112131415161718session_start();?>sync loginhello,游客;请先登录进入空间hello,;进入空间homelogin.php1234567...
PHP网页xss攻击测试用例,PHP web项目进行XSS漏洞测试中存在的问题
weixin_32058239的博客
03-22 205
概念:跨站脚本攻击(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。我们可以将其分成三类:(1)反射型XSS攻击者事先制作好攻击链...
PHP防止跨站和xss攻击代码
云博客_资源宝分享
07-09 1173
这篇文章主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下 本文实例讲述了PHP实现的防止跨站和xss攻击代码。分享给大家供大家参考,具体如下: 文档说明: 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once(‘waf.php’); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接
php解决XSS攻击
最新发布
php-yyds
12-27 1529
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞。它允许攻击者将恶意脚本注入到受害者的浏览器中,并在受害者访问受漏洞影响的网页时执行这些恶意脚本。XSS攻击通常发生在Web应用程序对用户输入的处理过程中。攻击者可以利用未经过滤或转义的用户输入,将恶意的HTML、JavaScript或其他脚本注入到网页中。当其他用户访问这个被攻击页面时,将执行这些恶意脚本,导致安全问题。
XSS漏洞复现
iczfy585的博客
03-26 2808
XSS漏洞复现 实验环境DVWA XSS(cross site script) 跨站脚本。属于代码执行的一种,这里执行的是前端代码,一般是javascript代码。对于反射型的XSS攻击代码是在Http的响应包中。攻击者通过构造含有攻击代码的URL,被攻击者点击后,攻击代码在客户端解释执行。可以通过此恶意代码向攻击者的服务器发送被攻击者的敏感信息,从而实现攻击目的。 下面测试一下,攻击者盗用...
XSS攻击
gghhb12的博客
03-29 4648
XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰雪青松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值