php clean xss

最新推荐文章于 2023-09-13 19:30:00 发布
最新推荐文章于 2023-09-13 19:30:00 发布
阅读量1k 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanwangxia/article/details/92785720
版权

<?php

class XSS {

    /**
     * @desc 过滤数据
     *
     * @param $data string|array 输入数据
     * @param $low  bool      是否采用更为严格的过滤
     *
     * @return 返回过滤的数据
     */
    public function clean_xss($data, $low = False) {
        #字符串过滤
        if (!is_array($data)) {
            $data = trim($data);              #字符两边的处理
            $data = strip_tags($data);        #从字符串中去除 HTML 和 PHP 标记
            $data = htmlspecialchars($data);  #特殊字符转换为HTML实体

            if ($low) {
                return $data;
            }
            #匹配换空格
            $data = str_replace(array('"', "\\", "'", "/", "..", "../", "./", "//"), '', $data);
            $no = '/%0[0-8bcef]/';
            $data = preg_replace($no, '', $data);
            $no = '/%1[0-9a-f]/';
            $data = preg_replace($no, '', $data);
            $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
            $data = preg_replace($no, '', $data);
            return $data;
        }
        #数组过滤
        $arr = array();
        foreach ($data as $k => $v) {
            $temp = $this->clean_xss($v);
            $arr[$k] = $temp;
        }
        return $arr;
    }

}

#测试测试
session_start();
$_SESSION['xss'] = 'xssss';
$xss = new XSS();
#测试字符串
$str = "<script>alert(document.cookie)</script>";
echo $str;
$str2 = $xss->clean_xss($str);
echo $str2;
echo "<hr/>";
#测试数组
$arr = array("<script>alert(document.cookie)</script>", "<script>alert(document.cookie)</script>", "<script>alert(document.cookie)</script>");
echo "<pre>";
print_r($arr);
echo "</pre>";
$arr2 = $xss->clean_xss($arr);
echo "<pre>";
print_r($arr2);
echo "</pre>";
die;
?>
 

wiscourper_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security
weixin_30533797的博客
02-09 804
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security 由Security Class 改编成函数xss_clean 单文件直接调用。BY吠品。 //来自codeigniter 清理跨站XSS xss_clean //Security Class 改编成函数 function remove_invisible_characters($str, $...
使用Jsoup.clean消除不受信任的HTML (防止XSS攻击)
qq_33915826的博客
02-24 4935
转自:[Jsoup] 使用Jsoup消除不受信任的HTML (防止XSS攻击) 防止XSS攻击的策略个人总结大致有几种: 使用正则设置白名单/黑名单进行过滤 通过dom对象进行黑名单/白名单的过滤 使用第三方类库Jsoup/AntiXSS等进行过滤HTML标签来防止XSS 本文章将主要介绍使用Jsoup消除不受信任的HTML来防止XSS攻击 1. 如何使用Jsoup进行清除HTML标签操作 使...
xxs过滤
wzx_it的专栏
12-20 602
///     /// Xss过滤器     ///     public class XssCleaner     {         private static List> injectWords = new List>();         ///         /// 静态构造函数         ///         static XssCleaner
SpringBoot 解决跨站脚本漏洞(XSS)问题
ideal-lingyun
06-25 2624
SpringBoot 解决跨站脚本漏洞(XSS)问题
java 防止Xss、SQL注入攻击
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
java清除xss漏洞关键字
最新发布
拼命小孩的成长专栏
09-13 338
java清除xss漏洞关键字
php xssclean,phpxss过滤函数
weixin_30015371的博客
03-11 224
/*** XSS 清除处理*/function xssClean($data, $htmlentities = 0){$htmlentities && $data = htmlentities($data, ENT_QUOTES, 'utf-8');// Fix &entity\n;$data = str_replace(array('&','<','>...
php xssclean,php – Codeigniter xss_clean困境
weixin_35009537的博客
03-11 220
基本上XSS是一个OUTPUT问题 – 但Codeigniter将其作为INPUT问题处理.Can someone elaborate how it’s bad…问题是xss_clean会改变你的INPUT – 这意味着在某些情况下(比如你所描述的密码问题)输入不是预期的.…or at least give 1 most probable scenario where it can be expl...
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 949
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
php处理xss攻击过滤.rar
01-18
PHP开发时,在网页端容易发起的xss攻击,针对于这类攻击提供一个封装的helper类方法进行内容过滤,减少受到的xss攻击。包含示例和封装方法。
PHP 防注入防XSS攻击入口过滤
04-15
PHP 防注入防XSS攻击入口过滤
PHP如何防止XSS攻击与XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
防止SQL注入和XSS跨站攻击代码
融化的雪的专栏
07-03 5012
这两天用360网站安全检测网站,检测出SQL注入漏洞和
XSS安全漏洞修复解决方案
热门推荐
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS: 漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
XSS攻击解决方案之一(过滤器)
willie_chen的专栏
08-23 4634
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
xss攻击解决方案
M1275601161的博客
03-09 3846
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Req
springmvc项目中XSS漏洞解决
laok186的博客
08-01 1888
反射型XSS漏洞修复
PHP 举例xss攻击
06-07
下面是一个 PHPXSS 攻击的例子: 假设有一个留言板的 Web 应用程序,用户可以通过输入留言内容来发布留言。应用程序将用户输入的留言内容存储在一个数据库中,并在 Web 页面中显示出来。下面是一个简单的 PHP 代码示例: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo $_POST['message']; ?></div> ``` 在上述代码中,我们通过 `$_POST` 获取用户输入的留言内容,并将其拼接到 SQL 插入语句中。由于没有对用户输入的数据进行任何验证和过滤,攻击者可以通过输入恶意代码来实现 XSS 攻击。例如,攻击者可以在留言内容中输入以下内容: ``` <script>alert('XSS Attack!');</script> ``` 这段代码会被插入到数据库中,并在 Web 页面中显示出来,从而实现恶意脚本的注入和执行。 为了避免 XSS 攻击,应该对用户输入的数据进行过滤和转义,例如使用 `htmlspecialchars()` 函数将特殊字符转义,或者使用输入验证来过滤恶意代码。例如,以下是对用户输入的留言内容进行转义和输出的示例代码: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $message = htmlspecialchars($message); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo htmlspecialchars($_POST['message']); ?></div> ``` 在上述代码中,我们使用 `htmlspecialchars()` 函数将用户输入的留言内容进行转义,以避免恶意脚本的注入和执行。同时,在输出留言内容时也要使用 `htmlspecialchars()` 函数对其进行转义,从而保证 Web 页面的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值