防止xss攻击方法 php,PHP防止或过滤xss攻击的一些方法

最新推荐文章于 2023-08-10 10:44:33 发布
最新推荐文章于 2023-08-10 10:44:33 发布
阅读量802 收藏
点赞数
文章标签: 防止xss攻击方法 php

其实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,主要去除了script等标签,下面直接上代码,不断的增加完善改进中。

//去除xxs的攻击的公共方法

public function clean_xss($string){

$string = trim($string);

$string = strip_tags($string);

$string = htmlspecialchars($string);

$string = str_ireplace('

$string = str_ireplace('', '', $string);

$string = str_replace(array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);

$no = '/%0[0-8bcef]/';

$string = preg_replace ($no,'',$string);

$no = '/%1[0-9a-f]/';

$string = preg_replace ($no,'',$string);

$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';

$string = preg_replace ($no,'',$string);

return $string;

}

对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的

2. 弱类型的脚本语言必须保证类型和期望的一致

3. 考虑周全的正则表达式

4. strip_tags、htmlspecialchars 这类函数很好用

5. 外部的 Javascript 不一定就是可靠的

6. 引号过滤必须要重点注意

7. 除去不必要的 HTML 注释

8. Exploer 求你放过我吧……

php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

纵使相逢应不识,尘满面,鬓如霜

邹小樱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross ...理论上,只要存在能提供输入的表单并且没做安全过滤过滤不彻底,都有可能存在XSS漏洞。 下面是一些最简单并且比较常见的恶意字符XSS输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
xss绕过过滤方法分享 及有关web攻击的方法
super_ufo的笔记
08-15 9237
最简单的就是改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则 比如: 可以转换为: 其次关闭标签也可以 有时我们需要关闭标签来使我们的XSS生效,如: “> 使用HEX编码来绕过 我们可以对我们的语句进行hex编码来绕过XSS规则。 比如: 可以转换为: %3c%73%63%72%69%70%74%3e%61%6c
防止xss攻击的方式
book_1992的专栏
12-01 604
1.原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 2.过滤的思想:将输入内容中的script标签js代码过滤掉。 特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。 通常使用htmlpurifier插件进行过滤 说明:htmlpurifier插件,会过滤掉scr.
SpringBoot 该如何预防 XSS 攻击
yuechuzhixing的博客
08-10 1139
*** Filter 过滤器,拦截请求转换为新的请求*//*** 初始化方法*/@Override/*** 过滤方法*/@Override} else {@Override/*注入自定义的序列化工具,将RequestBody的参数进行转译后传输*/// XSS序列化就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式。
XSS攻击绕过过滤方法大全(转)
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
如何在 PHP防止 XSS
allway2的博客
07-24 2006
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
php 防护xss,PHP的防御XSS注入的终极解决方案
weixin_42547431的博客
03-10 534
PHP的防御XSS注入的终极解决方案【信息安全】【Hack】一:PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数2.htmlentities函数3.HTMLPurifier.auto.php插件4.RemoveXss函数(百度可以查到)二:PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:1.尽量使用innerText(I...
Laravel5中防止XSS跨站攻击的方法
01-20
HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier ...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
php处理xss攻击过滤.rar
01-18
PHP开发时,在网页端容易发起的xss攻击,针对于这类攻击提供一个封装的helper类方法进行内容过滤,减少受到的xss攻击。包含示例和封装方法
php实现XSS安全过滤方法
10-23
主要介绍了php实现XSS安全过滤方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
什么是跨站脚本攻击(XSS)?如何在PHP应用程序中防止XSS攻击
长风破浪会有时的博客
07-18 214
跨站脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网页中插入恶意的客户端脚本。当用户浏览被攻击的网页时,恶意脚本将在用户的浏览器中执行,从而导致攻击者能够窃取用户的敏感信息、篡改网页内容或进行其他恶意行为。请注意,以上方法只是一些常见的防御措施,但不能保证100%防止XSS攻击。使用安全的数据库查询:当将用户输入用于数据库查询时,使用参数化查询或预编译语句,以确保输入数据被正确转义。输出编码:在将用户输入的数据输出到网页时,确保进行适当的编码,以防止浏览器将其误认为是脚本。
关于XSS攻击及其防御
Wang的专栏
06-04 3621
【代码】关于XSS攻击及其防御。
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 188
【代码】PHP 过滤XSS攻击
php处理 xss方法,php实现XSS安全过滤方法
weixin_33132553的博客
03-29 830
本文实例讲述了php实现XSS安全过滤方法。分享给大家供大家参考。具体如下:function remove_xss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // ...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
PHP防范XSS攻击
IT部落格
03-03 2704
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
数据库系统课程设计.txt
最新发布
05-06
数据库课程设计数据库课程设计数据库课程设计数据库课程设计
php防止sql注入和xss攻击
06-01
防止XSS攻击,可以采取以下措施: 1. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等。 2. 对输出到网页的用户输入进行转义,例如将特殊字符转换为HTML实体,这可以防止恶意用户注入恶意脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值