防止SQL注入和XSS跨站攻击代码

最新推荐文章于 2024-08-22 20:02:01 发布
最新推荐文章于 2024-08-22 20:02:01 发布
阅读量5k 收藏 3
点赞数
分类专栏: php 文章标签: php SQL注入 XSS攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbb0403/article/details/36626515
版权

这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:

a、防止SQL注入代码:

//防止SQL注入 hxm_20140701  只对字符串有效
function clean_SQLinject($string){
	if(!get_magic_quotes_gpc()){
		$string = mysql_real_escape_string($string);
		$string = addslashes($string);
	}
	$string = str_replace("_","\_",$string);
	$string = str_replace("%","\%",$string);
	return $string;
}

b、防止XSS跨站攻击代码:

//防止xss跨站攻击 hxm_20140701  数组或字符串都有效
function clean_xss(&$string){
	if(!is_array($string)){
		$string = trim($string);
		$string = strip_tags($string);
		$string = htmlspecialchars($string);
		$string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);
		$no = '/%0[0-8bcef]/';
		$string = preg_replace ($no, '', $string);
		$no = '/%1[0-9a-f]/';
		$string = preg_replace ($no, '', $string);
		$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
		$string = preg_replace ($no, '', $string);
		return True;
	}

	$keys = array_keys($string);
	foreach($keys as $key){
		clean_xss($string[$key]);
	}
}

c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:

d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:

//对传过来的整个post数组进行SQL注入和XSS过滤   hxm_20140701
function clean_post($post) {  
  if(!get_magic_quotes_gpc()){    // 判断magic_quotes_gpc是否为打开  
    $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤  
  }  
  $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉  
  $post = str_replace("%", "\%", $post);    // 把 '%'过滤掉  
  $post = nl2br($post);    // 回车转换  
  $post = htmlspecialchars($post);    // html标记转换 防止xss 
 
  return $post;  
}

备注(关于XSS):

1、php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).

4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

融化的雪
关注
专栏目录
xss 跨站攻击代码
12-09
跨站攻击过滤代码
XSS跨站攻击代码大全
愿听风成曲
06-28 377
img src=""onerror=“alert(‘xss’)”> 直接k掉script绕过。包含alert就绕过(括号一串数字是alert(xss)的ASCII值)'“>ipt> 过滤script绕过。Referer: '"> 传送头插入。过chrome默认xss过滤器。通过构造一个带xss的锚点绕过。
网络安全——基础知识记忆梳理
最新发布
goldfish8848的博客
08-22 1501
其实,SSL是TLS的前身,现在很多浏览器都不支持SSL,但SSL的名气很大。SSL用于在网络上进行安全通信。SSL的主要目的是为了保护在网络上传输的数据的安全性、完整性和机密性。HTTPS是在HTTP协议的基础上加入SSL/TLS协议的安全协议,可以确保网站与客户端之间的通信是加密的、安全的加密:SSL/TLS协议使用对称加密和非对称加密结合的方式,保证数据在传输过程中的安全性。对称加密用于加密数据,非对称加密用于在客户端和服务器之间交换密钥。
XSS跨站攻击,注入代码整理,大全
03-03
XSS跨站攻击,注入代码整理,希望大家支持
防止跨站攻击(tornado)
weixin_42694291的博客
11-12 571
为了防止XSRF,要求每一个请求必须通过一个cookie头和一个隐藏表单向页面提供令牌,这样网站才认为请求有效。 开启tornado的XSRF功能有两个步骤: 1.在实例化tornado.web.Application时传入xsrf_cookies=True参数: App = tornado.web.Application([(r'/', MainHandler),],cookie_secr...
XSS(跨站脚本攻击) - 常用代码大全
热门推荐
CHK的博客
08-20 5万+
XSS(跨站脚本攻击) - 常用代码大全: 1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt> <svg/onload=alert(1)> <script>alert(document.cookie)</script> '><script&a
开发代码安全规范防SQL注入XSS跨站攻击代码编写规范样本.doc
08-04
开发代码安全规范防SQL注入XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了防止SQL注入XSS跨站...
开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范.doc
07-14
"开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...
开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范.pdf
07-14
【开发代码安全规范-防SQL注入XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统和数据的破坏。SQL注入XSS跨站脚本攻击是两种常见的网络安全威胁。 ...
开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范.docx
07-14
总结,开发人员在编写代码时,不仅要考虑功能实现,更要关注代码的安全性,遵循上述规范,以防止SQL注入XSS攻击。同时,持续学习和跟踪最新的安全威胁,是保障代码安全的重要环节。在项目发布前进行详尽的安全测试...
SQL注入XSS跨站攻击安全规范1
08-08
SQL注入SQL注入是一种常见的网络安全...综上所述,防止SQL注入XSS攻击的关键在于对用户输入进行严格的控制和验证,以及采用安全的编程习惯。通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险。
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
xss攻击sql注入
03-19
xss攻击sql注入
XSS攻击及防御代码的简单演示
04-25
这个是XSS攻击及防御代码的简单演示,利用Node搭建的
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
php 防注入sql和xss,PHPXSSSQL注入代码
weixin_30798713的博客
03-12 172
如何实现php的安全最大化?怎样避免sql注入漏洞和x使用php安全模式 服务器要做好管理,账号权限是否合理。 假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤 防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请分享伪造。tp5怎么防sql注入 xss跨站脚本攻击最有效的方法是使用参数化查询就能避免sql注入了,防止跨站的话可以使用...
XSS跨站攻击
思维小刀
04-26 559
1.简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点, 进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某...
跨站脚本攻击XSS)以及如何防止它?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-23 810
XSS攻击是指攻击者通过注入恶意脚本到网页,当其他用户浏览该页面时,恶意脚本会在受害者的浏览器中执行,从而获取敏感信息、篡改页面内容或执行其他恶意操作。防范XSS攻击是前端开发中不可忽视的一部分。通过理解XSS攻击的原理及其防御策略,我们可以构建出更加安全、健壮的Web应用。随着网络环境的不断演变,开发者应持续关注最新的安全动态,不断优化和升级自己的安全实践,以保护用户的信息安全。在日常开发中,我们应该秉持谨慎的态度,对每一行代码负责,共同营造一个更加安全的互联网世界。
Web安全编程规范:防止SQL注入XSS攻击
"SQL注入XSS跨站攻击安全规范1" SQL注入XSS跨站攻击是两种...遵循这些规范,可以显著提高Web应用的安全性,防止SQL注入XSS攻击的发生。开发人员应当时刻牢记安全编码的重要性,以保护用户数据和系统的完整性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值