php xss filter

最新推荐文章于 2021-04-15 15:12:49 发布
最新推荐文章于 2021-04-15 15:12:49 发布
阅读量616 收藏
点赞数
  1. function transform_HTML($string, $length =null){
  2. // Helps prevent XSS attacks
  3. // Remove dead space.
  4. $string = trim($string);
  5. // Prevent potential Unicode codec problems.
  6. $string = utf8_decode($string);
  7. // HTMLize HTML-specific characters.
  8. $string = htmlentities($string, ENT_NOQUOTES);
  9. $string = str_replace("#","#", $string);
  10. $string = str_replace("%","%", $string);
  11. $length = intval($length);
  12. if($length >0){
  13. $string = substr($string,0, $length);
  14. }
  15. return $string;

  1. }

这个函数将 HTML 特定的字符转换为 HTML 字面字符。一个浏览器对任何通过这个脚本的 HTML 以非标记的文本呈现。例如,考虑下面的 HTML 字符串:

  1. <STRONG>Bold Text</STRONG>

一般情况下,HTML 会显示为:Bold Text

但是,通过 transform_HTML() 后,它就像原始输入一样呈现。原因是处理的字符串中的标签字符串转换为 HTML 实体。transform_HTML() 的结果字符串的纯文本看起来像下面这样:

  1. <STRONG>Bold Text</STRONG>

该函数的实质是 htmlentities() 函数调用,它会将 <、>、和 & 转换为 &lt;&gt;、和 &amp;。尽管这会处理大部分的普通攻击,但有经验的 XSS 攻击者有另一种把戏:用十六进制或 UTF-8 编码恶意脚本,而不是采用普通的 ASCII 文本,从而希望能绕过你的过滤器。他们可以在 URL 的 GET 变量中发送代码,告诉浏览器,“这是十六进制代码,你能帮我运行吗?” 一个十六进制例子看起来像这样:

  1. <ahref="http://host/a.php?variable=%22%3e %3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e">

浏览器渲染这个信息的时候,结果就是:

  1. <ahref="http://host/a.php?variable="><SCRIPT>Dosomethingmalicious</SCRIPT>

为了防止这种情况,transform_HTML() 采用额外的步骤把 # 和 % 符号转换为它们的实体,从而避免十六进制攻击,并转换 UTF-8 编码的数据。

最后,为了防止某些人用很长的输入超载字符串从而导致某些东西崩溃,你可以添加一个可选的 $length 参数来截取你指定最大长度的字符串。



终极解决方案: HTML_Safe
http://pear.php.net/package/HTML_Safe/download

robert_zhai
关注
php 过滤存储型XSS攻击
散尽浮华
06-21 4022
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" onclick=alert(1)> 也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的 后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法 //过滤存储型XSS攻击 //过滤存储型XSS攻击 public function safe...
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2729
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
PHP过滤XSS攻击的函数
稻草人技术博客
02-16 4267
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。<?php function RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b)
php xss过滤器,Xss过滤器如何配置?Xss过滤器配置方法
weixin_34489089的博客
04-15 810
本篇文章给大家带来的内容是关于Xss过滤器如何配置?Xss过滤器配置方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。1.XSS是什么?跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页...
php防注入和XSS攻击通用过滤
华章酱的博客
04-29 743
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
php 字符串截取.支持中文和其他编码,,检查字符串是否是UTF8编码
weixin_33834910的博客
08-29 156
为什么80%的码农都做不了架构师?>>> ...
第十节 xss filter过滤器-01
最新发布
09-15
XSS_Filter_过滤器详解 在Web应用程序中,XSS(Cross-Site Scripting)是一种常见的安全漏洞。攻击者可以通过在Web应用程序中 inject 恶意脚本,从而获取用户的敏感信息或控制用户的行为。为了防止这种攻击,开发者...
xssfilter:适用于Symphony CMS中事件的XSS筛选器
05-13
另外,可以通过Extension_XSSFilter::detectXSS($string)直接在您的扩展中使用XSS过滤器,该扩展Extension_XSSFilter::detectXSS($string)接受一个字符串,如果检测到XSS,则返回布尔值。 前端实用程序 从XSS Filter...
xss防御之php利用httponly防xss攻击
12-19
- 使用`filter_var()`函数进行数据过滤和验证。 - 开启PHP的Magic Quotes(不过这在PHP 7.0之后已被废弃,应改为使用更安全的过滤方法)。 - 使用预编译语句(如PDO的预处理语句)防止SQL注入,同时也能防止某些XSS...
php处理xss攻击过滤.rar
01-18
例如,如果一个字段应该接受电子邮件地址,那么可以使用PHP的`filter_var`函数进行验证。 2. **数据转义**:对用户输入进行转义,防止它们被解释为HTML或JavaScript代码。PHP提供了`htmlspecialchars`函数,它可以...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
php安全 xss,php实现XSS安全过滤的方法
weixin_39662594的博客
03-13 338
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as...
php伪协议xss,filter_var 函数()使用javascript伪协议绕过执行xss
weixin_34480323的博客
04-08 269
escape过滤器来过滤link,而实际上这里的escape过滤器,是用PHP内置函数htmlspecialchars来实现的htmlspecialchars函数定义如下:htmlspecialchars:(PHP 4, PHP 5, PHP 7)功能:将特殊字符转换为 HTML 实体定义:stringhtmlspecialchars( string$string[, i...
php xssclean,phpxss过滤函数
weixin_30015371的博客
03-11 252
/*** XSS 清除处理*/function xssClean($data, $htmlentities = 0){$htmlentities && $data = htmlentities($data, ENT_QUOTES, 'utf-8');// Fix &entity\n;$data = str_replace(array('&','<','>...
php XSS安全过滤测试代码
qq_42078965的博客
07-19 375
<?PHP function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script> // note that you have to handle splits with \n, \r, and
整理php防注入和XSS攻击通用过滤
zhaoliang831214的专栏
03-26 9722
1.1 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值