php 过滤存储型XSS攻击

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量3.9k 收藏 5
点赞数 1
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39131177/article/details/93212392
版权

最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>
也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的

后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法
//过滤存储型XSS攻击
  

//过滤存储型XSS攻击
public function safe_filter(&$string) 
{
    $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
        $data=str_replace(array('&','<','>'),array('&amp;','&lt;','&gt;'),$data);   
    if (!get_mag
最低0.47元/天 解锁文章
萧-青
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ourphp存储xss漏洞1
08-03
OurPHP存储XSS漏洞详解 OurPHP是一个由哈尔滨伟成科技有限公司开发的PHP内容管理系统,主要用于构建网站。在OurPHP 1.7.3版本中发现了一个存储跨站脚本(XSS)漏洞,这给系统的安全性带来了严重威胁。存储XSS...
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1916
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 204
【代码】PHP 过滤XSS攻击
PHP 安全:如何防止PHP中的XSS
最新发布
新华编程特战队
04-24 950
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
如何在 PHP 中防止 XSS
allway2的博客
07-24 2079
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类的最大区别在于,在存储XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
phpXSS防范及脚本过滤
五六碗瓶
12-27 469
Content Security Policy(CSP):CSP是一种HTTP头部,通过指定可加载的资源来源来限制页面可以加载的资源。可以在服务器端设置CSP策略。输出编码:在展示用户输入的数据时,使用适当的编码方式来防止XSS攻击。可以使用htmlspecialchars()函数或其他相关的编码函数来编码输出的内容。然而,要注意的是,没有一种方法是绝对安全的,应该综合使用多种防范措施来提高应用程序的安全性。使用Web应用程序防火墙(WAF):部署WAF可以帮助检测和防止各种类的攻击,包括XSS攻击
html5 防止脚本攻击,php防止xss攻击过滤不正常的所有字段脚本
weixin_28728265的博客
06-22 153
先安装扩展composer require lincanbin/white-html-filter自己新建一个类
存储XSS灰盒测试-01
09-15
存储XSS是一种常见的Web应用安全漏洞,它允许攻击者将恶意脚本存储在服务器上,然后在其他用户访问时触发恶意脚本,从而实现攻击。存储XSS的危害性非常高,因此需要进行严格的检测和防护。 在这个课程中,我们...
ourphp 站内信存储xss漏洞1
08-04
OurPHP存储XSS漏洞详解 OurPHP是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。OurPHP 1.7.1版本存在存储XSS漏洞,可获取任意用户cookie。本文将对该漏洞进行详细分析。 漏洞简介 ...
E077-PHP应用安全-针对存储XSS漏洞的安全开发.pdf
12-02
PHP应用安全与存储XSS漏洞防御】 ...通过以上措施,可以显著提高PHP应用的安全性,有效防御存储XSS攻击。在实际开发中,应始终遵循“预防优于治疗”的原则,确保每个用户输入的环节都有足够的安全防护。
php实现XSS安全过滤的方法
12-19
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下: function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as // note that you have to handle splits with \n, \r, and \t later since they *a
php通用过滤,php通用防注入和XSS攻击全局过滤代码
weixin_33778479的博客
03-10 246
//php防注入和XSS攻击通用过滤.//byqq:831937$_GET&&SafeFilter($_GET);$_POST&&SafeFilter($_POST);$_COOKIE&&SafeFilter($_COOKIE);functionSafeFilter(&$arr){$ra=...
php xss过滤
weixin_34082789的博客
06-19 97
XSS已知CSS (Cross Site Script) ,跨站点脚本攻击。它指的是恶意攻击者Web插入恶意网页html代码,当用户浏览网页。其中嵌入Web里面html代码运行,从而实现了一些人的攻击的目的。 例如,在那里get收到链接回加盟?id=19"&gt;&lt;div+style%3Dwidth%3Aexpression(alert(42873))&gt; 会导致页面错乱...
PHPXSS攻击过滤函数
11-23 845
<br />XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。<br />原文如下:<br />The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, c
解决存储Xss漏洞
热门推荐
abcjwg的专栏
04-15 2万+
近期做的一个项目进行渗透测试,检测代码存在存储Xss漏洞。例如在界面文本域输入<h2>12345</h2>、<script>alter(12345)</script>这样的值,如果程序未进行处理,会存储至数据库。下次回显会出现异常界面或弹出异常框,如果进行恶意攻击,可能后果不堪设想。 网上搜集的大部分代码都是使用过滤器,并对请求数据进行过滤,重写...
DVWA存储XSS不同级别完美绕过
过客璇璇的博客
04-08 9531
DVWA存储XSS不同级别完美绕过 Low级别 首先攻击者A访问这个网站 判断这个网站是否有XSS漏洞 发现是有XSS漏洞的 这时 攻击者A构造一个脚本 获取用户cookie 攻击者写好脚本以及测试这是否存在XSS <script>alert(1)</script> 以上看到当再次访问这个网站时是出来这...
php过滤xss,分享php过滤XSS攻击的函数
weixin_42509931的博客
03-11 442
分享php过滤XSS攻击的函数php过滤XSS攻击的函数是什么呢?以下是小编分享php过滤XSS攻击的函数,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!以下函数:过滤用户的`输入,保证输入是XSS安全的。例子:复制代码 代码示例:/*** 过滤XSS攻击* edit: www.jbxue.com*/function RemoveXSS($val) {// re...
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 591
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
存储XSS攻击的攻击
05-11
为了防止存储XSS攻击,开发人员必须对输入的数据进行过滤和验证,确保不会将任何恶意代码存储到数据库中。此外,还要对用户输入的内容进行编码,以防止恶意脚本在页面中执行。网站管理员还应该定期检查数据库中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值