php判断和过滤get或者post的html标签,防止跨站点脚本(XSS),链接注入,框架注入等攻击

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量689 收藏 10
点赞数 7
文章标签: php html android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelzhouh/article/details/136318970
版权
本文介绍了如何通过在PHP中检查搜索参数是否包含HTML标记来防止XSS和链接注入等安全漏洞。通过使用正则表达式和htmlspecialchars_decode函数,确保用户输入的安全性。
摘要由CSDN通过智能技术生成

大部分网站都包含搜索功能,根据用户搜索的词去执行服务端的业务逻辑。如果一些黑客在搜索参数包含链接(a)、嵌入其他网页(iframe)、前端代码(script)等html字符,再加上服务端php不加任何处理去解析或者展示了用户请求的参数,就可能出现跨站点脚本(XSS),链接注入,框架注入等安全漏洞。

下面通过直接判断请求字符串是否包含html标记,去屏蔽非法请求,从而杜绝这类攻击。

// 搜索的php处理页面,如搜索关键词参数为s
$s = $_GET['s'];
if (preg_match('/<[^>]+>/', $s) || preg_match('/<[^>]+>/', htmlspecialchars_decode($s))) {
    // echo "搜索的关键词不能包含HTML标签";
    echo "非法参数";
    exit();
}
// 不包含HTML标签,后续继续原由的处理……

michaelzhouh
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php语言中不能包含html标签,php 判断字符串中是否包含html标签
weixin_36306387的博客
05-30 528
php 判断字符串中是否包含html标签function judgeHtml($str){if($str != strip_tags($str)){echo '有';}else{echo '无';}}judgeHtml('a');echo '';judgeHtml('a');输出:有无时间: 2014-02-16PHP strstr 定义和用法 strstr() 函数搜索一个字符串在另一个字符串中...
90个PHP常用接口数据过滤的方法
小吴软件
08-30 1214
<?php /** * global.func.php 公共函数库 */ /** * 返回经addslashes处理过的字符串或数组 * @param $string 需要处理的字符串或数组 * @return mixed */ function new_addslashes($string){ if(!is_array($string)) return addslash
php url参数过滤器,使用 PHP 的 Filter 函数(过滤器)高效、安全地获取请求参数...
weixin_39553653的博客
03-10 461
前言一般,咱们获取请求参数的方法为直接访问超全局变量:$_GET,$_POST,$_SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了 filter 模块,用于变量的验证和过滤等操做。过滤器函数简化了代码结构,相对于直接访问超全局变量来也更加的高效和安全。php过滤器函数列表:filter_has_var() — 检测是否存在指定类型的变量。filter_id() — 返回...
PHP 安全:如何防止PHP中的XSS
最新发布
新华编程特战队
04-24 1047
站点脚本XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生脚本XSS攻击。这些受感染的网站在不知不觉中将注入脚本提供给毫无戒心的用户。
php get安全过滤,php 有效安全过滤get,posd,cookie_PHP教程
weixin_42398730的博客
03-11 160
php 有效安全过滤get,posd,cookiephp 有效安全过滤get,posd,cookiesession_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN);if($_REQUEST){if(MAGIC_QUOTES_GPC){$_REQUEST = new_stripslashes($_REQUEST);if($_COOKIE) $_COO...
php 参数 过滤 类,参数过滤
weixin_39726267的博客
03-22 88
PHP代码
anti-xss:AntiAntiXSS | 通过PHP防止站点脚本XSS
05-02
:Japanese_secret_button: 反XSS站点脚本XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
PHP防止SQL注入攻击XSS攻击的两个简单方法
12-17
PHP编程中,确保应用程序的安全性至关重要,尤其是防范SQL注入脚本(XSS)攻击。这两种攻击方式是Web应用安全领域的常见威胁,能够导致数据泄露、用户信息被窃取甚至完全控制服务器。以下是对这两种攻击的预防...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS脚本攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
12-18
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入XSS脚本攻击。以下是如何使用PHP来实现这些防护措施的详细解释: 1. **防止SQL注入**: - **mysql_real_escape_string...
SQL注入技术和脚本攻击的检测
12-16
SQL注入脚本XSS攻击是网络安全中的两大威胁,主要针对Web应用程序。SQL注入是指攻击者通过在Web表单输入框或其他输入点插入SQL语句的特殊字符和指令,以此来操纵数据库查询,获取敏感信息或执行非法操作。...
ThinkPHP内置函数详解D、F、S、C、L、A、I
weixin_33827731的博客
01-19 308
单字母函数D、F、S、C、L、A、I 他们都在ThinkPHP核心的ThinkPHP/Mode/Api/functions.php这个文件中定义. 下面我分别说明一下他们的功能: D() 加载Model类 M() 加载Model类 A() 加载Action类 L() 获取语言定义 C() 获取配置值    用法就是   C("这里填写在配置文件里数组的下标") S() 全局缓存配置 用法S(“这里...
php过滤url参数方法
qq_39634880的博客
07-19 414
【代码】php过滤url参数方法。
php防止xss攻击以及sql注入
abchuangyoucheng的博客
07-27 407
php防止xss攻击以及sql注入 1、核心函数 /** 防止sql注入已经xxs攻击 */ function SafeFilter (&$arr) { $ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/appl...
php 批量过滤post,get敏感数据
qq_39160867的博客
11-14 125
【代码】php 批量过滤post,get敏感数据。
php防止post注入恶意代码,[方法分享]利用输入框进行恶意代码注入
weixin_39859954的博客
03-16 505
恶意代码注入虽然不是一个新的技术,甚至与我们熟知的远程代码执行漏洞并无原理上的区别,但危害却是致命的。本文的场景独特,方法也挺有趣,希望对各位freebufer们有所启发。 闲话少说,现在让我们来看看下图:这是一个提供查询DNS服务的网站接口,用户可以在输入框中键入IP或主机名来进行查询。 他的代码实现也并不复杂,如下:...
php过滤get数据,PHP过滤post get参数
weixin_30224231的博客
03-10 591
用于过滤post与get传递过来的敏感数据/*** 批量过滤post,get敏感数据* by www.junphp.com*/if (get_magic_quotes_gpc()) {$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);}function stripslashes_array(&$arr...
post请求无法通过spring security过滤
sky2019116的博客
01-19 596
一、问题简述二、问题解决三、完整spring security配置。
php 防止被get,PHP如何过滤GET或者POST的参数?如何样才能保证代码不被注入
weixin_42500240的博客
03-10 349
------解决方案--------------------直接查查 魔术转换 相关东西吧不用去看wordpress了,学这么个东西还要去看wordpress,搞死人啊------解决方案--------------------if (!get_magic_quotes_gpc())//如果没有开启的话{/****需要对这几个数组,遍历,注意数组多维的情况,addslashes($str)就可以$...
PHP安全编程:防止SQL注入XSS攻击策略
"该PDF文件主要探讨了PHP编程中常见的安全漏洞,包括SQL注入脚本(分为反射式和存储式)以及请求伪造和命令行注入。文件着重于如何识别这些漏洞并提供了相应的防御策略。" 在PHP编程中,安全问题是一个至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值