PHP如何防止XSS攻击

最新推荐文章于 2024-04-25 15:55:39 发布
最新推荐文章于 2024-04-25 15:55:39 发布
阅读量456 收藏 1
点赞数
文章标签: php XSS攻击 XSS防御 XSS剖析
原文链接:https://www.cnblogs.com/wt645631686/p/6867651.html?utm_source=itdadao&utm_medium=referral
版权

PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars( s t r i n g , E N T Q U O T E S ) . 当 然 , 如 果 需 要 不 转 化 如 何 的 引 号 , 用 h t m l s p e c i a l c h a r s ( string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars( string,ENTQUOTES).,,htmlspecialchars(string,ENT_NOQUOTES).

另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

(1).网页不停地刷新 ‘’

(2).嵌入其它网站的链接 除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的.

复制代码

<?php //php防注入和XSS攻击通用过滤 $_GET && SafeFilter($_GET); $_POST && SafeFilter($_POST); $_COOKIE && SafeFilter($_COOKIE); function SafeFilter (&$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/' ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/' ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/', '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/' ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/'); if (is_array($arr)) { foreach ($arr as $key => $value) { if (!is_array($value)) { if (!get_magic_quotes_gpc()) //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。 { $value = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符) 加上反斜线转义 } $value = preg_replace($ra,'',$value); //删除非打印字符,粗暴式过滤xss可疑字符串 $arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体 } else { SafeFilter($arr[$key]); } } } } ?>

s t r = ′ w w w . 90 b o k e . c o m < m e t a h t t p − e q u i v = " r e f r e s h " c o n t e n t = " 0 ; " > ′ ; S a f e F i l t e r ( str = 'www.90boke.com<meta http-equiv="refresh" content="0;">'; SafeFilter ( str=www.90boke.com<metahttpequiv="refresh"content="0;">;SafeFilter(str); //如果你把这个注释掉,提交之后就会无休止刷新
echo s t r ; 复 制 代 码 复 制 代 码 / / − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − p h p 防 注 入 和 X S S 攻 击 通 用 过 滤 − − − − − S t a r t − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − − / / f u n c t i o n s t r i n g r e m o v e x s s ( str; 复制代码 复制代码 //------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------// function string_remove_xss( str;//phpXSSStart//functionstringremovexss(html) {
preg_match_all("/<([^<]+)>/is", $html, $ms);

$searchs[] = '<';
$replaces[] = '&lt;';
$searchs[] = '>';
$replaces[] = '&gt;';

if ($ms[1]) {
    $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
    $ms[1] = array_unique($ms[1]);
    foreach ($ms[1] as $value) {
        $searchs[] = "&lt;".$value."&gt;";

        $value = str_replace('&amp;', '_uch_tmp_str_', $value);
        $value = string_htmlspecialchars($value);
        $value = str_replace('_uch_tmp_str_', '&amp;', $value);

        $value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
        $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
                'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
                'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
                'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
                'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
                'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
                'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
                'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
                'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
        $skipstr = implode('|', $skipkeys);
        $value = preg_replace(array("/($skipstr)/i"), '.', $value);
        if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
            $value = '';
        }
        $replaces[] = empty($value) ? '' : "<" . str_replace('&quot;', '"', $value) . ">";
    }
}
$html = str_replace($searchs, $replaces, $html);

return $html;

}
//php防注入和XSS攻击通用过滤
function string_htmlspecialchars($string, KaTeX parse error: Expected '}', got 'EOF' at end of input: … if (is_array(string)) {
foreach ($string as $key => $val) {
s t r i n g [ string[ string[key] = string_htmlspecialchars($val, KaTeX parse error: Expected 'EOF', got '}' at position 17: …lags); }̲ } else { …flags === null) {
$string = str_replace(array(’&’, ‘"’, ‘<’, ‘>’), array(’&’, ‘"’, ‘<’, ‘>’), s t r i n g ) ; i f ( s t r p o s ( string); if (strpos( string);if(strpos(string, ‘&#’) !== false) {
$string = preg_replace(’/&((#(\d{3,5}|x[a-fA-F0-9]{4}))😉/’, ‘&\1’, $string);
}
} else {
if (PHP_VERSION < ‘5.4.0’) {
s t r i n g = h t m l s p e c i a l c h a r s ( string = htmlspecialchars( string=htmlspecialchars(string, $flags);
} else {
if (!defined(‘CHARSET’) || (strtolower(CHARSET) == ‘utf-8’)) {
$charset = ‘UTF-8’;
} else {
$charset = ‘ISO-8859-1’;
}
s t r i n g = h t m l s p e c i a l c h a r s ( string = htmlspecialchars( string=htmlspecialchars(string, $flags, $charset);
}
}
}

return $string;

}

//------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//
复制代码

PHP中的设置
PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

session.cookie_httponly =

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

<?php ini_set("session.cookie_httponly", 1); // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE); ?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

<?php setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); ?>

老版本的PHP就不说了。没企业用了吧。

qq_37913859
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php如何防止xss攻击
weixin_54963682的博客
03-11 631
php如何防止xss攻击 php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialchar(string,ENTQUOTES)转化单引号和双引号,如果不需要编译任何的
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
如何在 PHP防止 XSS
allway2的博客
07-24 2098
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
整理php注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7231
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
PHP中如何范跨站脚本攻击(XSS)?有哪些护措施?
最新发布
aronSandy的博客
04-25 1101
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而防止恶意脚本的注入和执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符和标签。
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1980
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
php处理xss攻击过滤.rar
01-18
4. **使用预定义的安全函数**:PHP社区维护了一些库,如`htmlspecialchars`、`strip_tags`和`htmlentities`,这些函数可以帮助过滤和转义用户输入,防止XSS攻击。 5. **避免直接输出用户数据**:在生成HTML时,始终...
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
PHPXSS攻击sql注入
Limitless1113的专栏
06-04 4245
SQL注入如何? TP中的底层已经做了SQL注入的操作,只要我们操作数据库时使用TP提供给我们的方法就不会有问题,如添加商品时我们调用了add方法。唯一要注意的就是如果我们自己拼SQL执行时就要自己来过滤了。   总结:如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考虑PHP服务器有没有开启自动过滤的功能,如果服务器已经开启自动过滤的功能我
PHP防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php防止SQL注入的最佳解决方法php防止
PHP防止SQL注入和XSS攻击
听海Movie的专栏
09-15 6510
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以防止Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
php防止xss攻击
u013695932的博客
05-09 293
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
PHP如何防止XSS攻击XSS攻击原理
Daisy的博客
10-10 1376
转载至:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这...
PHPCSRF、XSS、SQL注入攻击
代码的搬运工
07-04 2478
1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了(2).验证码  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄....这个方...
xss 过滤函数 java_过滤XSS攻击和SQL注入函数
weixin_27808545的博客
02-16 211
/**+----------------------------------------------------------* The goal of this function is to be a generic function that can be used to parse almost any input and * render it XSS safe. For more ...
XSS 防御方法总结
weixin_33932129的博客
08-03 2772
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
php 一个过虑xxs的代码
liangpz521的技术资料库
07-11 1323
一个过虑xxs的代码
php写一个防止xss攻击
05-19
PHP 中,可以通过使用 htmlspecialchars() 函数来防止 XSS 攻击。该函数将特殊字符转换为 HTML 实体,从而使其无法被浏览器识别为代码。以下是一个示例: ```php // 获取用户输入 $input = $_POST['input']; //...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值