预防XSS攻击,主要就是过滤用户的输入,通常使用的是Htmlspecialchars函数。这里主要介绍的是使用HTMLPurifier拓展库完成的过滤,HTMLPurifier下载地址http://htmlpurifier.org/
//防止xss攻击的特殊方法(过滤字符串)
function fanXSS($string) {
//require_once './Plugin/htmlpurifier/HTMLPurifier.auto.php'; //根据实际目录路径进行修改
vendor('htmlpurifier.library.HTMLPurifier#auto');
// 生成配置对象
$cfg = HTMLPurifier_Config::createDefault();
// 以下就是配置:
$cfg->set('Core.Encoding', 'UTF-8');
// 设置允许使用的HTML标签
$cfg->set('HTML.Allowed', 'div,b,strong,i,em,a[href|title],ul,ol,li,br,span[style],img[width|height|alt|src]');
// 设置允许出现的CSS样式属性
$cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
// 设置a标签上是否允许使用target="_blank"
$cfg->set('HTML.TargetBlank', TRUE);
// 使用配置生成过滤用的对象
$obj = new HTMLPurifier($cfg);
// 过滤字符串
return $obj->purify($string);
}
防止sql入注,网上是有很多方法的,这里介绍的主要是最简单的mysql_real_escape_string转义
//防止SQL入注(转义字符串)
function fanSQL($value){
// 去除斜杠
if (get_magic_quotes_gpc()){
$value = stripslashes($value);
}
// 如果不是数字则加引号
if (!is_numeric($value)){
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
现在这个函数慢慢被废弃了,推荐还是用PDO去做吧