php 防止跨站脚本攻击,​PHP怎么防止XSS跨站脚本攻击

最新推荐文章于 2022-08-16 13:24:20 发布
最新推荐文章于 2022-08-16 13:24:20 发布
阅读量279 收藏
点赞数
文章标签: php 防止跨站脚本攻击
本文详细讲解了PHP防止XSS攻击的方法,包括使用htmlspecialchars函数转义非法HTML代码,设置HttpOnly属性防止Cookie劫持,以及提供了一套通用的XSS过滤函数。学习如何避免恶意代码插入,确保Web应用安全。
摘要由CSDN通过智能技术生成

​PHP怎么防止XSS跨站脚本攻击

发布时间:2020-07-18 09:23:31

来源:亿速云

阅读:73

作者:清晨

这篇文章将为大家详细讲解有关PHP怎么防止XSS跨站脚本攻击,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。

PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化任何引号,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

(1).网页不停地刷新 ''

(2).嵌入其它网站的链接  除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的.<?php

//php防注入和XSS攻击通用过滤

$_GET && SafeFilter($_GET);

$_POST && SafeFilter($_POST);

$_COOKIE && SafeFilter($_COOKIE);

function SafeFilter (&$arr)

{

$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'

,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'

,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',

'/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'

,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');

if (is_array($arr))

{

foreach ($arr as $key => $value)

{

if (!is_array($value))

{

if (!get_magic_quotes_gpc()) //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。

{

$value = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)

#加上反斜线转义

}

$value = preg_replace($ra,'',$value); //删除非打印字符,粗暴式过滤xss可疑字符串

$arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体

}

else

{

SafeFilter($arr[$key]);

}

}

}

}

?>

$str = 'www.90boke.com';

SafeFilter ($str); //如果你把这个注释掉,提交之后就会无休止刷新

echo $str;//------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------//

function string_remove_xss($html) {

preg_match_all("/\/is", $html, $ms);

$searchs[] = '

$replaces[] = '

$searchs[] = '>';

$replaces[] = '>';

if ($ms[1]) {

$allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';

$ms[1] = array_unique($ms[1]);

foreach ($ms[1] as $value) {

$searchs[] = "";

$value = str_replace('&', '_uch_tmp_str_', $value);

$value = string_htmlspecialchars($value);

$value = str_replace('_uch_tmp_str_', '&', $value);

$value = str_replace(array('\\', '/*'), array('.', '/.'), $value);

$skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',

'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',

'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',

'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',

'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',

'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',

'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',

'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',

'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');

$skipstr = implode('|', $skipkeys);

$value = preg_replace(array("/($skipstr)/i"), '.', $value);

if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {

$value = '';

}

$replaces[] = empty($value) ? '' : "";

}

}

$html = str_replace($searchs, $replaces, $html);

return $html;

}

//php防注入和XSS攻击通用过滤

function string_htmlspecialchars($string, $flags = null) {

if (is_array($string)) {

foreach ($string as $key => $val) {

$string[$key] = string_htmlspecialchars($val, $flags);

}

} else {

if ($flags === null) {

$string = str_replace(array('&', '"', ''), array('&', '"', ''), $string);

if (strpos($string, '') !== false) {

$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);

}

} else {

if (PHP_VERSION < '5.4.0') {

$string = htmlspecialchars($string, $flags);

} else {

if (!defined('CHARSET') || (strtolower(CHARSET) == 'utf-8')) {

$charset = 'UTF-8';

} else {

$charset = 'ISO-8859-1';

}

$string = htmlspecialchars($string, $flags, $charset);

}

}

}

return $string;

}

//------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中-----------------------------------------------------

session.cookie_httponly =

-----------------------------------------------------

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:<?php ini_set("session.cookie_httponly", 1);

// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:<?php

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

?>

关于PHP怎么防止XSS跨站脚本攻击就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

zha567
关注
如何禁止PHP脚本跨站跨目录
weixin_54963682的博客
03-14 610
如何禁止PHP脚本跨站跨目录 前言 在一些渗透测试遇到的环境中,有的时候我们会发现shell所能访问的目录非常有限,可能只有当前网站的一个根路径,当我们需要从旁站拿目标站点的shell时往往被局限于此。这篇文章就是研究下php跨站跨目录的一个安全配置。 现在网络上大部分php的环境是lamp或者lnmp,那么防止跨站跨目录的方式大致分为两类:中间件的配置、php.ini的配置。本文将对这两种方法来进行讲解。 中间件 我们首先先从中间件的层面来看这个问题。 apache 阿帕奇是比较成熟的中间件,我们可以
java反射行跨站脚本攻击_Web安全之防止XSS跨站脚本攻击
weixin_32589453的博客
02-24 1151
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植...
php 防止跨站脚本攻击,如何应用php防止XSS跨站脚本攻击
weixin_42498206的博客
03-09 608
如何应用php防止XSS跨站脚本攻击发表于2019-05-16 14:50|次阅读|来源网络整理|作者session摘要:如何应用php防止XSS跨站脚本攻击如何应用php防止XSS跨站脚本攻击首先,跨站脚本攻击都是因为对用户的输入没有停止严厉的过滤形成的,所以咱们必须在一切数据进入咱们的网站和数据库之前把能够的风险阻拦。针对非法的HTML代码包括单双引号等,可能利用htmlentities()函...
php防止用户输入进行跨站攻击的方式
bangxionger9224的博客
11-27 119
1.对用户输入的内容进行转义 //1.过滤内容中html标记 $userinput=strip_tags($userinput); //2.转换成HTML实体 $userinput=htmlentities($userinput); 转载于:https://www.cnblogs.com/theWayToAce/p/7905301.html...
关于防止 PHP 中的跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1057
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 611
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
01-08
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场) PHP与Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)是开发者和安全测试人员进行XSS攻击练习的重要环境。xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码...
web安全技术-实验七、跨站脚本攻击xss)(反射型).doc
08-20
跨站脚本攻击XSS)概述】 XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...
Laravel5中防止XSS跨站攻击的方法
10-21
在Web开发中,跨站脚本攻击XSS攻击)是一种常见的安全威胁,攻击者通过注入恶意脚本代码到网页中,以达到窃取信息、破坏网站功能等目的。Laravel作为PHP的一种框架,为了增强安全性,在其5.0版本中提供了集成扩展...
PHPXSS跨站攻击
10-30
PHPXSS跨站攻击
php项目如何防止CSRF(跨站攻击
resilient的博客
11-17 496
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 御CSRF攻击: 目前御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。 (1)
php 接口 跨站,Php 跨站分析
weixin_30974905的博客
03-11 140
今天在改bug时,发现同事写的代码里存在跨站漏洞,于是加了个php跨站函数htmlentities()。因为以前也没有认真分析过此函数,翻了下文档,想了解透测点。Htmlentities() 转化所有适当字符为html实体函数说明:string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset ...
php防止脚本攻击,php防止xss跨站脚本攻击解决方法有哪些
weixin_33859931的博客
03-11 284
我们都知道,php网站程序虽然容易上手,但一直都有新的漏洞爆出,今天就给大家来说说最基本的一种漏洞xss脚本攻击漏洞,虽然这种漏洞存在已久,但目前还是有很多php站点遭受这种漏洞攻击。我们怎么来判断真假的站点有没有这种漏洞呢?其实很简单,只需要在你的网站域名后带上相关参数即可测试。例如 127.0.0.1/index.php?id=11,我们输出看看,是正常显示的,我们再来把后面的参数改改127....
PHP防止SQL注入
聂群技术博客
03-29 3087
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:代码如下:function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); if ($
php防止仿站,安全:PHP防止站外表单跨站提交的几种办法详解
weixin_32823555的博客
03-20 220
《安全:PHP防止站外表单跨站提交的几种办法详解》要点:本文介绍了安全:PHP防止站外表单跨站提交的几种办法详解,希望对您有用。如果有疑问,可以联系我们。在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是...
PHP跨站一些记录
weixin_33704234的博客
12-28 437
对于nginx来说有3种方法可以跨站请求 方法1 在nginx的php配置中或者在包含的 include fastcgi.conf 文件中加入: fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/"; 方法2 在php.ini中配置open_basedir选项 ope...
php防止脚本攻击,PHP防止XSS跨站脚本攻击修复方法的2种方法
weixin_36081891的博客
03-11 563
什么叫XSS跨站攻击漏洞?专业理论性的解释我也懒得说,自己去百度。我就举个实际的例子来说明这玩意的危害好了!就拿之前WordPress留言来举例好了。默认状态下,WordPress是不允许带颜色评论的,但是我们可以通过在functions.php里面插入这2行代码,强行允许评论开放所有HTML代码://允许评论开放所有html代码remove_action('init','kses_init'...
防止跨站攻击(tornado)
weixin_42694291的博客
11-12 579
为了防止XSRF,要求每一个请求必须通过一个cookie头和一个隐藏表单向页面提供令牌,这样网站才认为请求有效。 开启tornado的XSRF功能有两个步骤: 1.在实例化tornado.web.Application时传入xsrf_cookies=True参数: App = tornado.web.Application([(r'/', MainHandler),],cookie_secr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值