防止SQL注入和XSS跨站攻击代码

最新推荐文章于 2023-03-19 15:46:12 发布
最新推荐文章于 2023-03-19 15:46:12 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 安全

http://blog.csdn.net/jbb0403/article/details/36626515原文


这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:

a、防止SQL注入代码:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //防止SQL注入 hxm_20140701  只对字符串有效  
  2. function clean_SQLinject($string){  
  3.     if(!get_magic_quotes_gpc()){  
  4.         $string = mysql_real_escape_string($string);  
  5.         $string = addslashes($string);  
  6.     }  
  7.     $string = str_replace("_","\_",$string);  
  8.     $string = str_replace("%","\%",$string);  
  9.     return $string;  
  10. }  

b、防止XSS跨站攻击代码:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //防止xss跨站攻击 hxm_20140701  数组或字符串都有效  
  2. function clean_xss(&$string){  
  3.     if(!is_array($string)){  
  4.         $string = trim($string);  
  5.         $string = strip_tags($string);  
  6.         $string = htmlspecialchars($string);  
  7.         $string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);  
  8.         $no = '/%0[0-8bcef]/';  
  9.         $string = preg_replace ($no''$string);  
  10.         $no = '/%1[0-9a-f]/';  
  11.         $string = preg_replace ($no''$string);  
  12.         $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';  
  13.         $string = preg_replace ($no''$string);  
  14.         return True;  
  15.     }  
  16.   
  17.     $keys = array_keys($string);  
  18.     foreach($keys as $key){  
  19.         clean_xss($string[$key]);  
  20.     }  
  21. }  

c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:

d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //对传过来的整个post数组进行SQL注入和XSS过滤   hxm_20140701  
  2. function clean_post($post) {    
  3.   if(!get_magic_quotes_gpc()){    // 判断magic_quotes_gpc是否为打开    
  4.     $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤    
  5.   }    
  6.   $post = str_replace("_""\_"$post);    // 把 '_'过滤掉    
  7.   $post = str_replace("%""\%"$post);    // 把 '%'过滤掉    
  8.   $post = nl2br($post);    // 回车转换    
  9.   $post = htmlspecialchars($post);    // html标记转换 防止xss   
  10.    
  11.   return $post;    
  12. }  

备注(关于XSS):

1、PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).

4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

ncafei
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨站攻击,注入代码整理,大全
03-03
XSS跨站攻击,注入代码整理,希望大家支持
XSS跨站攻击代码大全
最新发布
愿听风成曲
06-28 316
img src=""onerror=“alert(‘xss’)”> 直接k掉script绕过。包含alert就绕过(括号一串数字是alert(xss)的ASCII值)'“>ipt> 过滤script绕过。Referer: '"> 传送头插入。过chrome默认xss过滤器。通过构造一个带xss的锚点绕过。
防止跨站攻击(tornado)
weixin_42694291的博客
11-12 559
为了防止XSRF,要求每一个请求必须通过一个cookie头和一个隐藏表单向页面提供令牌,这样网站才认为请求有效。 开启tornado的XSRF功能有两个步骤: 1.在实例化tornado.web.Application时传入xsrf_cookies=True参数: App = tornado.web.Application([(r'/', MainHandler),],cookie_secr...
XSS(跨站脚本攻击) - 常用代码大全
热门推荐
CHK的博客
08-20 5万+
XSS(跨站脚本攻击) - 常用代码大全: 1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt> <svg/onload=alert(1)> <script>alert(document.cookie)</script> '><script&a
SQL注入XSS跨站攻击安全规范1
08-08
SQL注入SQL注入是一种常见的网络安全...综上所述,防止SQL注入XSS攻击的关键在于对用户输入进行严格的控制和验证,以及采用安全的编程习惯。通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险。
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本.doc
08-04
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了防止SQL注入XSS跨站...
开发代码安全规范-SQL注入XSS跨站攻击代码编写规范.doc
07-14
"开发代码安全规范-SQL注入XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...
XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
开发代码安全规范-SQL注入XSS跨站攻击代码编写规范.pdf
07-14
【开发代码安全规范-SQL注入XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统和数据的破坏。SQL注入XSS跨站脚本攻击是两种常见的网络安全威胁。 ...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
xss攻击sql注入
03-19
xss攻击sql注入
XSS攻击代码的简单演示
04-25
这个是XSS攻击代码的简单演示,利用Node搭建的
php 注入sql和xss,PHPXSS SQL注入代码
weixin_30798713的博客
03-12 164
如何实现php的安全最大化?怎样避免sql注入漏洞和x使用php安全模式 服务器要做好管理,账号权限是否合理。 假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤 防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请分享伪造。tp5怎么sql注入 xss跨站脚本攻击最有效的方法是使用参数化查询就能避免sql注入了,防止跨站的话可以使用...
XSS跨站攻击
思维小刀
04-26 529
1.简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点, 进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某...
如何防止xss跨站脚本攻击代码说明)
jingdianjiuchan的博客
03-19 3296
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的御措施来提高网站的安全性。
php防止sql注入xss攻击
06-01
防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值