过滤掉URL传递变量中的可能存在的安全隐患

最新推荐文章于 2020-12-30 11:33:46 发布
最新推荐文章于 2020-12-30 11:33:46 发布
阅读量1k 收藏
点赞数
分类专栏: PHP 文章标签: url javascript applet html iframe tags
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxyuhua/article/details/88585
版权

<?php

foreach ($_GET as $secvalue) {

    if ((eregi("<[^>]*script*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*object*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*iframe*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*applet*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*meta*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*style*/"?[^>]*>", $secvalue)) ||

    (eregi("<[^>]*form*/"?[^>]*>", $secvalue)) ||

    (eregi("/([^>]*/"?[^)]*/)", $secvalue)) ||

    (eregi("/"", $secvalue))) {

   die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=/"javascript:history.go(-1)/"><b>Go Back</b></a> ]");

    }

}

 

foreach ($_POST as $secvalue) {

    if ((eregi("<[^>]script*/"?[^>]*>", $secvalue)) ||   (eregi("<[^>]style*/"?[^>]*>", $secvalue))) {

        die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=/"javascript:history.go(-1)/"><b>Go Back</b></a> ]");

    }

}

?>

jxyuhua
关注
专栏目录
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
Android应用安全测试用例
武天旭的博客
12-09 1205
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西。
过滤URL的参数部分
weixin_30426957的博客
08-23 226
//将超链接的参数部分滤 ?xxx if(url.contains(“?”)){ url=url.substring(0,url.indexOf(“?”)); } 转载于:https://www.cnblogs.com/qq-757617012/p/4752151.html
过滤器 拦截非法的url请求
weixin_33690367的博客
04-08 654
为什么80%的码农都做不了架构师?>>> ...
URL重定向漏洞(风险)
@小张小张的博客
10-10 7790
URL重定向漏洞(风险) 风险级别: 风险 风险描述: 攻击者可以将参数URL值引入任意开发者的URL或者钓鱼网站; 风险分析: 部分HTTP参数会保留URL值,这会导致Web应用程序将请求重定向到指定的URL,攻击者可以将URL改为恶意站点,从而启动钓鱼网站欺骗用户,窃取用户隐私; 钓鱼攻击: 模拟网站或者软件,几乎与官方的软件完全相同,连域名也十分相似。 网络钓鱼是互联网上流行已久且行之有效的黑客攻击机制之一。这种攻击,通过诱导用户去访问钓鱼网站,进而获取用户数据信息,或是用恶意软件感染用
解决带参数的url,会过滤特殊字符的问题
qq_35315439的博客
04-04 2769
项目有一个公式管理模块: 最终要求 前两个公式可以顺利的带出,但计算值公式的 +号被过滤了, 开始页面跳转是这样写的 //查看 function toInfo(expressionId){ var sourceExpression =$("#"+expressionId).find('input').eq(1).val() $.modal.openT...
php 变量传递的几种办法
09-01
- 由于数据暴露在URL可能存在安全隐患,不宜传递敏感信息。 - 参数长度受限于浏览器和服务器设置,不适合大量数据传输。 #### 3. HTTP重定向 通过HTTP响应头的`Location`字段来实现页面跳转并携带参数。 ##...
信息安全技术:文件包含漏洞简介.pptx
最新发布
11-01
例如,一个可能存在问题的URL可能是`http://xxx/index.php?page=downloads.php`。如果攻击者能够改变`page`参数的值,比如将其更改为系统文件路径,如`C:\Windows\system.ini`或Unix系统的`/etc/passwd`,那么服务器...
前端存在哪些安全性
xuzhijia1991的博客
12-30 1035
本文不是一个大而全的课程,只是我们日常常见的问题,因为网络安全是一个很大的话题,我们这里只介绍前端工程师应知应会的东西。大概包括 XSS, CSRF, 点击劫持,SQL注入,OS注入,请求劫持,DDOS,以及简单的防范策略。 1.XSS XSS的英文是Cross Site Scripting也就是常说的跨站脚本攻击,因为缩写和CSS重叠,所以只能叫XSS,跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 那么XSS一般是如何进行攻击
由于您访问的url可能对网站造成安全威胁_Web常见安全漏洞-XSS攻击
热门推荐
weixin_39614011的博客
11-21 1万+
XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面。这个是动态站点的威胁,静态站点完全不受其影响。XSS分类存储型XSS:主要出现在让用户输入数据,供其他浏览此页的用户进行...
url带多个参数_动态URL和静态URL做seo优化不必二选一
weixin_39707536的博客
12-06 515
一提到网站URL优化,大家就会想到将动态URL伪静态化,减少动态参数、降低层级等操作。从SEO角度,静态URL访问速度比较快,是目前建站的最佳选择。但对于单个网站来说,选择合适的URL结构要依据网站类型、重点优化的内容和搜索引擎决定。网站URL优化1、动态URLURL示例:http://www.domain.com/abc/view.php?tid=53Google建议不要静态化URL。因为它完全...
HTTP协议及其安全隐患
浮云渐渐
03-18 4613
HTTP协议   在TCP/IP协议栈,应用层包含很多的协议,其应用最为广泛的协议被称之为HTTP协议。在日常生活使用HTTP协议十分广泛,比如在访问网站的时候,使用的协议就是HTTP协议。 HTTP协议   HTTP是一个基于请求与响应模式的、无状态的应用层协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当...
.net全站过滤url危险参数,防注入
海风~
12-07 5227
在global文件添加如下代码:       void Application_BeginRequest(object sender, EventArgs e)     {         //遍历Post参数,隐藏域除外         if (Regex.IsMatch(Request.RawUrl.ToLower(), @"/manager/")==false)
️ 如何绕过 BKY 对 script 的屏蔽
weixin_30421525的博客
01-21 221
Conmajia January 20, 2019 警告 这是试验,警告个屁,请不要多多尝试用它做多余的事。 果不其然,这篇文章立刻被移出主页了,我就说嘛,BKY 哪儿会那么包容和坦然呢? 原文 document.title = "[我是 JS 生成的!] " + document.title .b...
JS实现URL编码到文字符转换
"这篇文章主要介绍了如何使用JavaScriptURL的编码字符(如%20、%55)转换为文字符。通过提供两个辅助函数str2asc和asc2str,以及核心函数UrlDecode,实现了URL解码功能。" 在网页开发URL(统一资源定位符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值