PHP 安全攻防,实体转义

最新推荐文章于 2021-03-12 08:06:34 发布
最新推荐文章于 2021-03-12 08:06:34 发布
阅读量679 收藏
点赞数
分类专栏: PHP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houyanhua1/article/details/78725366
版权

一、恶意攻击
Post灌水:  解决:加入隐藏字段  <input type="hidden" name="po" value="va" >
验证码。验证码不显示的原因:1.编码:utf-8;  2. header('Content-type:image/png'); header头前面不允许有空格,在所有<?php ?>两端不能有多余的空格。

二、Sql注入
Post请求:表单中输入特殊字符 如:单引号。  解决:1.加密,md5。  2.转义单引号:站在php的角度用 addslashes()函数;站在mysq的角度用 mysql_real_escape_string()函数
Get请求:自行构造url,提交 加入关键字 or 1#。   解决:1.过滤关键字 or: 转换成int类型:  (int)变量  变量+0   intval()函数  

三、Xss攻击
脚本(Html)注入: <sctipt></script>  </table> 等。解决:1.实体转义  htmlspecialchars()函数、htmlentities()函数
注意:针对用户提交的所有数据(POST数据),都要进行实体转义。

批量实体转义辅助函数:

<?php
//批量实体转义
function deepspecialchars($data){
	if (empty($data)) {
		return $data;
	}
	//中高级程序员的写法
	return is_array($data) ? array_map('deepspecialchars',$data) : htmlspecialchars($data);
	/*
		//初级程序员的写法
		if (is_array($data)) {
			foreach ($data as $k => $v){
				$data[$k] = deepspecialchars($v);
			}
			return $data;
		} else {
			//单个变量
			return htmlspecialchars($data);
		}
	*/
}


houyanhua1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php中html_entity_decode实现HTML实体转义
10-18
主要介绍了php中html_entity_decode实现HTML实体转义的相关资料,需要的朋友可以参考下
PHP常见漏洞的防范措施
大鹏
12-18 2037
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
php+转义实体字符,PHP针对HTML实体字符的转义函数
weixin_28704675的博客
03-12 120
htmlspecialchars()转义特别的字符为HTML实体;'&'(ampersand)becomes'&''"'(doublequote)becomes'"'whenENT_NOQUOTESisnotset.'''(singlequote)becomes'''onlywhenENT_QUOTESisset....
PHP安全编程:跨站脚本攻击的防御(转)
weixin_34174422的博客
07-29 100
跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交: ...
PHP常见漏洞与编码安全-PHP攻防入门-学习笔记
君陌
12-07 582
一、在地址栏直接输入目标地址跳转。如在未登录的情况下直接访问需要登录才能显示的目标页面 办法:采用session会话技术,在目标页面开启session验证,session中没有存储对应的用户信息代表用户未登录。用户登录时存储相应信息到session中。 二、跨站脚本攻击(Cross Site Scripting,XSS) 是一种经常出现在Web应用程序中的计算安全漏洞,是由于Web应
PHP中使用addslashes函数转义安全性原理分析
10-25
主要介绍了PHP中使用addslashes函数转义安全性原理分析,较为深入的分析了addslashes函数的用法及ecshop自定义函数addslashes_deep的不足之处,非常具有实用价值,需要的朋友可以参考下
浅谈Laravel模板实体转义带来的坑
01-03
最近在Laravel项目中用到了百度编辑器,插入到数据库我保存的是原始的html标签代码,没有进行实体转义。然后在修改的时候,需要读取到数据库中的数据,进行回显,这时候竟然在编辑器里面显示html标签代码<p>123,这...
PHP 转义使用详解
10-27
以下是对PHP转义的是应用进行了详细的分析介绍,需要的朋友可以参考下
php实现处理输入转义字符的代码
12-19
PHP中,还有其他几个处理转义字符的函数,如`stripslashes()`用于移除由`addslashes()`添加的反斜线,以及`htmlspecialchars()`用于转义HTML实体,防止XSS(跨站脚本攻击)。 总的来说,处理输入转义字符是保护...
论文研究-基于ThinkPHP框架的网络安全攻防实训平台中靶场中心模块的设计与实现 .pdf
08-18
基于ThinkPHP框架的网络安全攻防实训平台中靶场中心模块的设计与实现,王莎莎,辛阳,针对目前大部分高校实验室无法在课堂教学中展现出具有实际网络环境特色的攻防技术的问题,本文提出以ThinkPHP框架和Bootstrap前端框架�
6个常见的 PHP 安全性攻击
06-03
了解常见的PHP应用程序安全威胁,可以确保你的PHP应用程序不受攻击。
AWD攻防比赛 PHP WAF
09-07
AWD攻防比赛 PHP WAF 超强waf,防读flag 比赛用基本可以完美防住
Web攻防系列教程之浅析PHP命令注入攻击
05-27
Web攻防系列教程之浅析PHP命令注入攻击
php安全 过滤、验证、转义
fareast_mzh的博客
07-17 720
不要相信外部源 $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据库 远程api 来自客户端的数据 htmlentities    1 <?php 2 $input = '<p><script>alert("Yo...
PHP攻防安全相关 -- 转
weixin_34281477的博客
11-21 168
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP 安全:过滤、验证和转义
一夜长风的专栏
09-02 7712
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
常见的 PHP 安全性攻击
wuhaifei
02-04 1382
SQL注入:用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。防止:使用mysql_real_escape_string()过滤数据 手动检查每一数据是否为正确的数据类型 使用预处理语句并绑定变量 参数化SQL:是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。 XSS攻击:跨站点脚本攻击,由用户输入一些数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值