网站安全(预防XSS攻击和SQL入注的封装函数)

最新推荐文章于 2020-07-15 09:42:01 发布
最新推荐文章于 2020-07-15 09:42:01 发布
阅读量154 收藏
点赞数
分类专栏: 安全 笔记 后端 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sfq_bluesky/article/details/90769602
版权
笔记 同时被 3 个专栏收录
55 篇文章 1 订阅
订阅专栏
后端
47 篇文章 1 订阅
订阅专栏
安全
7 篇文章 0 订阅
订阅专栏

预防XSS攻击,主要就是过滤用户的输入,通常使用的是Htmlspecialchars函数。这里主要介绍的是使用HTMLPurifier拓展库完成的过滤,HTMLPurifier下载地址http://htmlpurifier.org/

//防止xss攻击的特殊方法(过滤字符串)
function fanXSS($string) {
    //require_once './Plugin/htmlpurifier/HTMLPurifier.auto.php';  //根据实际目录路径进行修改
    vendor('htmlpurifier.library.HTMLPurifier#auto');
    // 生成配置对象
    $cfg = HTMLPurifier_Config::createDefault();
    // 以下就是配置:
    $cfg->set('Core.Encoding', 'UTF-8');
    // 设置允许使用的HTML标签
    $cfg->set('HTML.Allowed', 'div,b,strong,i,em,a[href|title],ul,ol,li,br,span[style],img[width|height|alt|src]');
    // 设置允许出现的CSS样式属性
    $cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    // 设置a标签上是否允许使用target="_blank"
    $cfg->set('HTML.TargetBlank', TRUE);
    // 使用配置生成过滤用的对象
    $obj = new HTMLPurifier($cfg);
    // 过滤字符串
    return $obj->purify($string);
}

防止sql入注,网上是有很多方法的,这里介绍的主要是最简单的mysql_real_escape_string转义

//防止SQL入注(转义字符串)
    function fanSQL($value){
        // 去除斜杠
        if (get_magic_quotes_gpc()){
            $value = stripslashes($value);
        }
        // 如果不是数字则加引号
        if (!is_numeric($value)){
            $value = "'" . mysql_real_escape_string($value) . "'";
        }
        return $value;
    }

现在这个函数慢慢被废弃了,推荐还是用PDO去做吧

猿粪已尽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站遭遇XSS注入如何排查及解决
weixin_54232686的博客
05-04 1194
预防XSS注入及解决
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法
曹品东
09-27 2083
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:    /**      * 过滤sql与php文件操作的关键字      * @param string $string      * @return string      * @author zyb <[email protected]>      */     private function filter_key...
XSS网站攻击演示
爱吃大西瓜的博客
11-06 3405
XSS攻击通常是指,攻击者向一个站点注入恶意代码(通常为JavaScript),以攻击该站点的其它用户(即攻击的最终目标并非站点本身)场景: 用户评论 <div> <span>一楼</span><br/> <span>二楼</span><br/> <span>三楼</span><br/> </div>恩,看上去很正常的…但是突然有个坏人来了 <d
个人网站xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_30614587的博客
12-31 437
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。 这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。 类似这种: <html> <body onload='while(true){alert(1)}'> &...
防止xsssql攻击函数
weixin_34104341的博客
08-02 54
<?php //php防注入和XSS攻击通用过滤. //by qq:831937 $_GET && SafeFilter($_GET); $_POST && SafeFilter($_POST); $_COOKIE && SafeFilter($_COOKIE); function SafeFilt...
预防XSS攻击SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
网络安全技术+XSS攻击SQL注入攻击
04-11
XSS攻击SQL注入攻击 网络安全技术初级学生
SQL注入和XSS跨站攻击安全规范1
08-08
2、对进入数据库的特殊字符('"\<>&* 3、确认每种数据的类型 4、数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行 5、每个数据
前端安全XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
Http协议&表单防止重复提交&XSS攻击&跨域五种实战解决方案
weixin_35381618的博客
04-21 1177
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何...
WEB漏洞测试(二)——HTML注入 & XSS攻击
热门推荐
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
网站xss攻击防止
Stitch77的博客
05-28 2457
1.定义 •XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 •XSS攻击
WEB安全扫描解决 XSS 攻击的解决方案
学英语的程序员
09-26 1618
xss(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   新方案 对于出现的问题,我这里有两点需要说...
xss 网站攻击
Ryman的博客
03-03 1499
今天在对外的一个系统数据中,看到有一段js 脚本 上网一搜,原来这就是传说中的网站XSS攻击,  跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1510
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
xss攻击之盗取账号
zhangzhangdan的博客
07-17 5065
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种用javascript脚本写的攻击方式 一般测试,我们会在运行的一段代码中写入一段javascript代码,在程序运行的的时候它会显示出来: &lt;?php public function index() { $str = "&lt;sctipt&gt;alert('aa')&lt;script&gt;"; ...
sql注入/xss/csrf防御方法笔记
晚风不及你
07-15 621
SQL注入 1.简介 SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。 2.SQL注入的危害 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;网页篡改:通过操作数据库对特定网页进行篡改;数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改;服务器被远程控制,被安装后门;删除和修改数据库表信息. 3.SQL注入的方式 通常情况下,SQL注入的位置包括: 表单提交,主要是POST请求,也包括GE
XSS攻击
letterTiger的博客
07-28 1358
XSS全称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。 被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。 XSS攻击又被分为两种,一种是反射型,另一种是存储型。 反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过连接传播。只要用户点击了链接就...
网站防止XSS攻击
changNet的专栏
07-19 1007
防止XSS攻击 名词解释:XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 1、鹏云留学: XSS 是如何发生的呢 假如有下面一个textbox
springboot如何实现使用过滤器防止xss攻击sql注入
最新发布
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSSSQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值