php判断和过滤get或者post的html标签,防止跨站点脚本(XSS),链接注入,框架注入等攻击

于 2024-02-27 12:21:31 发布
阅读量681 收藏 10
点赞数 7
文章标签: php html android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelzhouh/article/details/136318970
版权
本文介绍了如何通过在PHP中检查搜索参数是否包含HTML标记来防止XSS和链接注入等安全漏洞。通过使用正则表达式和htmlspecialchars_decode函数,确保用户输入的安全性。
摘要由CSDN通过智能技术生成

大部分网站都包含搜索功能,根据用户搜索的词去执行服务端的业务逻辑。如果一些黑客在搜索参数包含链接(a)、嵌入其他网页(iframe)、前端代码(script)等html字符,再加上服务端php不加任何处理去解析或者展示了用户请求的参数,就可能出现跨站点脚本(XSS),链接注入,框架注入等安全漏洞。

下面通过直接判断请求字符串是否包含html标记,去屏蔽非法请求,从而杜绝这类攻击。

// 搜索的php处理页面,如搜索关键词参数为s
$s = $_GET['s'];
if (preg_match('/<[^>]+>/', $s) || preg_match('/<[^>]+>/', htmlspecialchars_decode($s))) {
    // echo "搜索的关键词不能包含HTML标签";
    echo "非法参数";
    exit();
}
// 不包含HTML标签,后续继续原由的处理……

michaelzhouh
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php语言中不能包含html标签,php 判断字符串中是否包含html标签
weixin_36306387的博客
05-30 520
php 判断字符串中是否包含html标签function judgeHtml($str){if($str != strip_tags($str)){echo '有';}else{echo '无';}}judgeHtml('a');echo '';judgeHtml('a');输出:有无时间: 2014-02-16PHP strstr 定义和用法 strstr() 函数搜索一个字符串在另一个字符串中...
90个PHP常用口数据过滤的方法
小吴软件
08-30 1211
<?php /** * global.func.php 公共函数库 */ /** * 返回经addslashes处理过的字符串或数组 * @param $string 需要处理的字符串或数组 * @return mixed */ function new_addslashes($string){ if(!is_array($string)) return addslash
php url参数过滤器,使用 PHP 的 Filter 函数(过滤器)高效、安全地获取请求参数...
weixin_39553653的博客
03-10 457
前言一般,咱们获取请求参数的方法为直访问超全局变量:$_GET,$_POST,$_SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了 filter 模块,用于变量的验证和过滤等操做。过滤器函数简化了代码结构,相对于直访问超全局变量来也更加的高效和安全。php过滤器函数列表:filter_has_var() — 检测是否存在指定类型的变量。filter_id() — 返回...
php 参数 过滤 类,参数过滤
weixin_39726267的博客
03-22 87
PHP代码
ThinkPHP内置函数详解D、F、S、C、L、A、I
weixin_33827731的博客
01-19 307
单字母函数D、F、S、C、L、A、I 他们都在ThinkPHP核心的ThinkPHP/Mode/Api/functions.php这个文件中定义. 下面我分别说明一下他们的功能: D() 加载Model类 M() 加载Model类 A() 加载Action类 L() 获取语言定义 C() 获取配置值    用法就是   C("这里填写在配置文件里数组的下标") S() 全局缓存配置 用法S(“这里...
anti-xss:AntiAntiXSS | 通过PHP防止站点脚本XSS
05-02
:Japanese_secret_button: 反XSS站点脚本XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS脚本攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
SQL注入技术和脚本攻击的检测
12-16
SQL注入脚本XSS攻击是网络安全中的两大威胁,主要针对Web应用程序。SQL注入是指攻击者通过在Web表单输入框或其他输入点插入SQL语句的特殊字符和指令,以此来操纵数据库查询,获取敏感信息或执行非法操作。...
php xfocus防注入资料
10-30
除了这些基础方法,还可以使用过滤函数来清理用户输入,例如`htmlspecialchars()`用于防止XSS脚本攻击,`strip_tags()`去除HTML标签,以及使用正则表达式进行进一步的验证。例如,创建一个函数`inject_check...
sqlinator:自动将HTTP GET和POST请求转发到SQLMap的API,以测试SQLi和XSS
05-16
使用mitmproxy拦截所有HTTP通信,并自动将HTTP GET&POST请求转发到SQLMap的API,以测试SQLi和XSS 安装 SQLinator仅支持Python> = 3.6 建议使用pipenv install && pipenv shell SQLinator: pipenv install && ...
php过滤url参数方法
qq_39634880的博客
07-19 394
【代码】php过滤url参数方法。
php防止xss攻击以及sql注入
abchuangyoucheng的博客
07-27 406
php防止xss攻击以及sql注入 1、核心函数 /** 防止sql注入已经xxs攻击 */ function SafeFilter (&$arr) { $ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/appl...
php 批量过滤post,get敏感数据
qq_39160867的博客
11-14 125
【代码】php 批量过滤post,get敏感数据。
php防止post注入恶意代码,[方法分享]利用输入框进行恶意代码注入
weixin_39859954的博客
03-16 500
恶意代码注入虽然不是一个新的技术,甚至与我们熟知的远程代码执行漏洞并无原理上的区别,但危害却是致命的。本文的场景独特,方法也挺有趣,希望对各位freebufer们有所启发。 闲话少说,现在让我们来看看下图:这是一个提供查询DNS服务的网站口,用户可以在输入框中键入IP或主机名来进行查询。 他的代码实现也并不复杂,如下:...
php过滤get数据,PHP过滤post get参数
weixin_30224231的博客
03-10 587
用于过滤post与get传递过来的敏感数据/*** 批量过滤post,get敏感数据* by www.junphp.com*/if (get_magic_quotes_gpc()) {$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);}function stripslashes_array(&$arr...
post请求无法通过spring security过滤
最新发布
sky2019116的博客
01-19 581
一、问题简述二、问题解决三、完整spring security配置。
php 防止被get,PHP如何过滤GET或者POST的参数?如何样才能保证代码不被注入
weixin_42500240的博客
03-10 349
------解决方案--------------------直查查 魔术转换 相关东西吧不用去看wordpress了,学这么个东西还要去看wordpress,搞死人啊------解决方案--------------------if (!get_magic_quotes_gpc())//如果没有开启的话{/****需要对这几个数组,遍历,注意数组多维的情况,addslashes($str)就可以$...
php输入post过滤函数
wwppp987的博客
07-25 874
function GLOBAL_POST($str) { $str_origin=$str; if (empty($str)) return false; $str = str_replace( '/', "", $str);//替换关键词 $str = str_replace("\\", "", $str); $str = str_replace(">", "", $st...
php 过滤get参数,php参数过滤
weixin_39777540的博客
03-12 177
//参数过滤$sVariablesOrder = ini_get( 'variables_order' );$request = array();//过滤不安全数据for ( $i = 0; $i < strlen( $sVariablesOrder ); $i++ ){$cVariableFlat = strtolower( $sVariablesOrder[$i] );switch ( ...
攻击(XSS+CSRF).docx
01-05
"本次实验主要关注的是Web安全中的两种重要攻击方式:脚本攻击XSS)和站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值