XSS过滤函数修正版 PHP

最新推荐文章于 2023-10-27 20:49:23 发布
最新推荐文章于 2023-10-27 20:49:23 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: PHP 页面前端 文章标签: javascript filter tags string 测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaosini/article/details/7653400
版权

前面这个帖子 http://blog.csdn.net/kaosini/article/details/7646363已经介绍了XSS防御的两种方法,但是凡事还是应该以事实为依据,于是我测试了里面提到的两个方法


1.function RemoveXSS($val)

2.function filter_xss($string, $allowedtags = '')

$testXssString="<span>aaa</span><img SRC=\"javascr
ipt:alert('a');\" />";//aaa<img STYLE=\"background-image: url(javascript:alert('XSS'))\">
echo RemoveXss($testXssString);
//$testXssString=strip_tags($testXssString,"<span><img>");
//echo 'strip_tags:'.$testXssString;
echo filter_xss($testXssString,"<img>");

试验结果是两个方法都不行,实验结果为:

<span>aaa</span><img SRC="javascr&#x0d;ipt:alert('a');" /><br />aaa<img SRC="javascr&#x0d;ipt:alert('a');" />

所以这两个方法有问题,之前引用的帖子说第二种方法靠谱,推荐,但我认为第一种方法比较好,代码也比较清晰,跟踪了代码,发现是他的正则写的少考虑了&#x0d;,把它加进去就能过滤了。

个人认为我修正bug后,还有很多情况没考虑到,欢迎大家多提意见,谢谢。

dakang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
xss高级利用
Coisini的博客
05-22 1649
本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文. 如果你还未具备基础XSS知识,以下几个文章建议拜读: http://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/ JavaScript中文简介 http://www....
这一次,彻底理解XSS攻击
热门推荐
Tz
12-31 2万+
希望读完本文大家彻底理解XSS攻击,如果读完本文还不清楚,我请你吃饭慢慢告诉你~ 话不多说,我们进入正题。 一、简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScrip
xss攻击
weixin_43155143的博客
05-17 640
一、简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、 LiveScript、ActiveX、 Flash
二、PHP函数
黑日里不灭的light
10-27 406
is_numeric表示生成1-5范围内一个随机的数字sleep(2)表示当前脚本睡眠2秒函数特点:当传输参数不符那个函数的返回值就会为。
php7 mysql 字符过滤,php中如何进行字符过滤
weixin_33463850的博客
03-18 346
php中如何进行字符过滤PHP字符串转义相关的配置和函数如下:1.magic_quotes_runtime2.magic_quotes_gpc3.addslashes()和stripslashes()4.mysql_escape_string()5.addcslashes()和stripcslashes()6.htmlentities() 和html_entity_decode()7.htmls...
php进制字符串转义,php 字符串转义的相关函数
weixin_36048947的博客
03-20 235
PHP字符转义相关函数小结,有时候为了安全起见,我们需要对用户输入的字符串进行转义文章中有不正确的或者说辞不清的地方,麻烦大家指出了~~~与PHP字符串转义相关的配置和函数如下:1.magic_quotes_runtime2.magic_quotes_gpc3.addslashes()和stripslashes()4.mysql_escape_string()5.addcslashes()和str...
XSS 代码总结
bcbobo21cn的专栏
12-08 1万+
XSS跨站测试代码大全 http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3
DVWA-DOM型XSS全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-30 3181
DOM型XSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别 前言     DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Do
PHP字符转义相关函数小结(php下的转义字符串)
zili2000的专栏
03-20 472
。。。。。。
可以在线执行PHP代码包装修正版
10-30
标题中的“可以在线执行PHP代码包装修正版”指的是一个在线PHP代码执行平台,它允许用户在Web环境下直接编写和运行PHP代码,而无需通过本地环境的配置和文件操作。这样的工具极大地方便了开发者进行快速的代码测试和...
10条PHP高级技巧[修正版]
10-28
- **输出转义 (Output Escaping)**:在数据用于构建查询或显示给用户之前,对其进行转义处理,以防止SQL注入攻击或XSS攻击。 **示例**: ```php // 初始化用于存储过滤和转义后的数据数组 $clean = []; $sql = []; ...
基于PHP的网站综合查询PHP系统修正版源码.zip
最新发布
10-28
【标题】中的“基于PHP的网站综合查询PHP系统修正版源码”暗示了这是一个使用PHP编程语言开发的网站查询系统,而且已经过修正和完善。PHP(Hypertext Preprocessor)是一种广泛使用的开源脚本语言,尤其适用于Web...
PHP实例开发源码-网站综合查询 PHP 系统修正版.zip
10-17
PHP实例开发源码-网站综合查询 PHP 系统修正版PHP,全称“Hypertext Preprocessor”(超文本预处理器),是一种广泛应用于Web开发的开源脚本语言,以其灵活性、易学习性和高效的性能深受开发者喜爱。本实例...
PHP实例开发源码-VIP世界杯我为足球狂php 修正版.zip
10-16
PHP实例开发源码-VIP世界杯我为足球狂php 修正版.zip】是一个关于使用PHP进行网站开发的实例代码集合,特别针对“世界杯”这一主题进行了优化和修复。这个压缩包可能包含了一系列与足球赛事相关的功能模块,如比赛...
php取含有中文的字符串的真实长度(一个中文算两个字符)
kaosini的专栏
05-25 2634
首先学习一下相关知识,参照链接:http://blog.csdn.net/kaosini/article/details/7601185 同一段PHP编码 $str = "三知sunchis开发网"; echo $str; echo ""; echo "strlen:".strlen($str).""; //结果:22 echo "mb_strl
php读取数据后转换成json输出
kaosini的专栏
03-29 2455
转载请注明来源:http://blog.csdn.net/kaosini/article/details/8735306 现在很多网站都用了异步加载的技术,大部分加载的数据格式都是json的(比如{"order":"205","205":"\u81ea\u9009\u80a1"}),下面就给大家罗列下php读取数据后转换成json输出的几种方法。 第一种最简单的最常用的也就是拼字符串的方法,这
Zend Studio的运行方式由PHPUnit Test改为PHP Web Page
kaosini的专栏
01-10 2023
这几天我试着用Zend Studio来调试PHP,点击run后发现会报错,报错的信息原因可以参考链接:http://blog.csdn.net/kaosini/article/details/8489946,但是我发现按照上面的说的试了后,发现PHP Web Page一直没有显示出来,一直还是这样显示。 这个可弄得我脑袋大了,怎么调试都出不来(之前我点的是下图1标注的),今天无意间随便点
APMServ+Zend Studio 配置运行环境
kaosini的专栏
05-25 1530
windows机器上搭建APMServ+Zend Studio运行环境 1.我机器上装的有IIS,所以80端口占用着,我就在APMServ里给Appcache开了8080端口 2.Zend Studio 修改运行端口 菜单:window->preferences   在弹出的preferences窗口的左边书目录中选择PHP->PHPservers 然后在右边
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,还需要在启动类上添加`@WebFilter`注解来指定过滤器的名称和URL模式。具体的过滤逻辑可以在自定义过滤器的`doFilter`方法中实现。\[1\]\[2\] 在过滤器中,可以使用`XssHttpServletRequestWrapper`来对请求进行包装,以实现XSS过滤的功能。这个包装类可以对请求参数进行过滤,包括表单传值(`@RequestParam`)和URL传参(`@PathVariable`)。\[2\] 需要注意的是,Spring Boot中常见的接收参数方式有三种:`@RequestParam`、`@PathVariable`和`@RequestBody`。对于表单传值(`@RequestParam`),可以通过过滤器来进行XSS过滤。\[3\] 综上所述,可以通过创建自定义过滤器来实现Spring Boot中的XSS过滤。在过滤器中对请求进行包装,并对表单传值进行过滤,以防止XSS攻击的发生。 #### 引用[.reference_title] - *1* *2* *3* [Springboot过滤xss](https://blog.csdn.net/Time_Point/article/details/116162806)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值