防止SQL注入和XSS跨站攻击代码

这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:

a、防止SQL注入代码:

//防止SQL注入 hxm_20140701  只对字符串有效
function clean_SQLinject($string){
	if(!get_magic_quotes_gpc()){
		$string = mysql_real_escape_string($string);
		$string = addslashes($string);
	}
	$string = str_replace("_","\_",$string);
	$string = str_replace("%","\%",$string);
	return $string;
}

b、防止XSS跨站攻击代码:

//防止xss跨站攻击 hxm_20140701  数组或字符串都有效
function clean_xss(&$string){
	if(!is_array($string)){
		$string = trim($string);
		$string = strip_tags($string);
		$string = htmlspecialchars($string);
		$string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);
		$no = '/%0[0-8bcef]/';
		$string = preg_replace ($no, '', $string);
		$no = '/%1[0-9a-f]/';
		$string = preg_replace ($no, '', $string);
		$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
		$string = preg_replace ($no, '', $string);
		return True;
	}

	$keys = array_keys($string);
	foreach($keys as $key){
		clean_xss($string[$key]);
	}
}

c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:

d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:

//对传过来的整个post数组进行SQL注入和XSS过滤   hxm_20140701
function clean_post($post) {  
  if(!get_magic_quotes_gpc()){    // 判断magic_quotes_gpc是否为打开  
    $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤  
  }  
  $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉  
  $post = str_replace("%", "\%", $post);    // 把 '%'过滤掉  
  $post = nl2br($post);    // 回车转换  
  $post = htmlspecialchars($post);    // html标记转换 防止xss 
 
  return $post;  
}

备注(关于XSS):

1、php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).

4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值