php如何防xssp预防xss,php安全字段和防止XSS跨站脚本攻击过滤函数

最新推荐文章于 2023-08-25 15:54:14 发布
最新推荐文章于 2023-08-25 15:54:14 发布
阅读量113 收藏
点赞数
文章标签: php如何防xssp预防xss

function escape($string) {

global $_POST;

$search = array (

‘/

‘/>/i‘,

‘/\">/i‘,

‘/\bunion\b/i‘,

‘/load_file(\s*(\/\*.*\*\/)?\s*)+\(/i‘,

‘/into(\s*(\/\*.*\*\/)?\s*)+outfile/i‘,

‘/\bor\b/i‘,

‘/\]*?)\>/si‘,

‘/\]*?)\>/si‘,

‘/\]*?)\>/si‘

);

$replace = array (

‘>‘,

‘">‘,

‘union ‘,

‘load_file (‘,

‘into outfile‘,

‘or ‘,

‘‘,

‘‘,

‘‘

);

if (is_array ( $string )) {

$key = array_keys ( $string );

$size = sizeof ( $key );

for($i = 0; $i < $size; $i ++) {

$string [$key [$i]] = escape ( $string [$key [$i]] );

}

} else {

if (! $_POST [‘stats_code‘] && ! $_POST [‘ad_type_code_content‘]) {

$string = str_replace ( array (

‘\n‘,

‘\r‘

), array (

chr ( 10 ),

chr ( 13 )

), preg_replace ( $search, $replace, $string ) );

$string = remove_xss ( $string );

} else {

$string = $string;

}

}

return $string;

}

function remove_xss($val) {

$val = preg_replace ( ‘/([\x00-\x08\x0b-\x0c\x0e-\x19])/‘, ‘‘, $val );

$search = ‘abcdefghijklmnopqrstuvwxyz‘;

$search .= ‘ABCDEFGHIJKLMNOPQRSTUVWXYZ‘;

$search .= ‘1234567890!@#$%^&*()‘;

$search .= ‘~`";:?+/={}[]-_|\‘\\‘;

for($i = 0; $i < strlen ( $search ); $i ++) {

$val = preg_replace ( ‘/([xX]0{0,8}‘ . dechex ( ord ( $search [$i] ) ) . ‘;?)/i‘, $search [$i], $val );

$val = preg_replace ( ‘/(?{0,8}‘ . ord ( $search [$i] ) . ‘;?)/‘, $search [$i], $val );

}

$ra1 = array (

‘javascript‘,

‘vbscript‘,

‘expression‘,

‘applet‘,

‘meta‘,

‘xml‘,

‘blink‘,

‘script‘,

‘object‘,

‘iframe‘,

‘frame‘,

‘frameset‘,

‘ilayer‘,

‘bgsound‘

);

$ra2 = array (

‘onabort‘,

‘onactivate‘,

‘onafterprint‘,

‘onafterupdate‘,

‘onbeforeactivate‘,

‘onbeforecopy‘,

‘onbeforecut‘,

‘onbeforedeactivate‘,

‘onbeforeeditfocus‘,

‘onbeforepaste‘,

‘onbeforeprint‘,

‘onbeforeunload‘,

‘onbeforeupdate‘,

‘onblur‘,

‘onbounce‘,

‘oncellchange‘,

‘onchange‘,

‘onclick‘,

‘oncontextmenu‘,

‘oncontrolselect‘,

‘oncopy‘,

‘oncut‘,

‘ondataavailable‘,

‘ondatasetchanged‘,

‘ondatasetcomplete‘,

‘ondblclick‘,

‘ondeactivate‘,

‘ondrag‘,

‘ondragend‘,

‘ondragenter‘,

‘ondragleave‘,

‘ondragover‘,

‘ondragstart‘,

‘ondrop‘,

‘onerror‘,

‘onerrorupdate‘,

‘onfilterchange‘,

‘onfinish‘,

‘onfocus‘,

‘onfocusin‘,

‘onfocusout‘,

‘onhelp‘,

‘onkeydown‘,

‘onkeypress‘,

‘onkeyup‘,

‘onlayoutcomplete‘,

‘onload‘,

‘onlosecapture‘,

‘onmousedown‘,

‘onmouseenter‘,

‘onmouseleave‘,

‘onmousemove‘,

‘onmouseout‘,

‘onmouseover‘,

‘onmouseup‘,

‘onmousewheel‘,

‘onmove‘,

‘onmoveend‘,

‘onmovestart‘,

‘onpaste‘,

‘onpropertychange‘,

‘onreadystatechange‘,

‘onreset‘,

‘onresize‘,

‘onresizeend‘,

‘onresizestart‘,

‘onrowenter‘,

‘onrowexit‘,

‘onrowsdelete‘,

‘onrowsinserted‘,

‘onscroll‘,

‘onselect‘,

‘onselectionchange‘,

‘onselectstart‘,

‘onstart‘,

‘onstop‘,

‘onsubmit‘,

‘onunload‘

);

$ra = array_merge ( $ra1, $ra2 );

$found = true;

while ( $found == true ) {

$val_before = $val;

for($i = 0; $i < sizeof ( $ra ); $i ++) {

$pattern = ‘/‘;

for($j = 0; $j < strlen ( $ra [$i] ); $j ++) {

if ($j > 0) {

$pattern .= ‘(‘;

$pattern .= ‘([xX]0{0,8}([9ab]);)‘;

$pattern .= ‘|‘;

$pattern .= ‘|(?{0,8}([9|10|13]);)‘;

$pattern .= ‘)*‘;

}

$pattern .= $ra [$i] [$j];

}

$pattern .= ‘/i‘;

$replacement = substr ( $ra [$i], 0, 2 ) . ‘ ‘ . substr ( $ra [$i], 2 );

$val = preg_replace ( $pattern, $replacement, $val );

if ($val_before == $val) {

$found = false;

}

}

}

return $val;

}

原文:https://www.cnblogs.com/68xi/p/12038708.html

高考数学呆哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss攻击 函数 php,什么XSS攻击?PHP防止XSS攻击函数
weixin_33628316的博客
03-28 275
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!看看常见的恶意字符XSS 输入:1.XSS 输入通常包含JavaScript脚本,如弹出恶意警告框:alert("XSS");2.XSS 输入也可能是 HTML 代码段,譬如:(1).网页不停地刷新 (2).嵌入其它网站的链接 防止XSS攻击测试路径: 其实有很多测试XSS攻击...
php防止xss攻击
dengpengquan的博客
01-09 1896
攻击过程          用户在输入框中输入脚本&lt;script&gt;alert(1)&lt;/script&gt;。点击提交后保存数据库,在后台读取数据时候会弹出1。 解决方法          使用php函数 htmlentities(用户提交数据),这样会把数据转化成html实体在保存数据库。(全部转换)         局部过滤:        1:          ...
php判断post是否xss,PHP GET\POST注入和XSS的两个函数方法
weixin_39517400的博客
03-10 205
function RemoveXSS($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // note that you have to handle splits with...
php 内容安全过滤代码,PHP安全之数据过滤_PHP
weixin_34820916的博客
03-20 317
在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的。关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。调度方法这种方法是用一个单一的 PHP 脚本调度(通过 UR...
[记录] php 处理安全过滤方法类
qq_40021373的博客
08-25 32
【代码】[记录] php 处理安全过滤方法类。
php脚本代码,PHP安全辅助小脚本 最简单的代码级网站脚本
weixin_39772849的博客
04-12 109
Safe3写的一个PHP安全辅助的一个小脚本,主要是做数据全局过滤的,之前看到360也用到这么一个脚本。小巧实用,推荐下。使用方法:把这段代码保存为safe.php 然后在任意一个全局文件包含以下这个文件,比如数据库配置文件等//Code By Safe3function customError($errno, $errstr, $errfile, $errline){echo "Error n...
xss常用pyload,及原理解释
大大大蜜蜂的博客
05-25 1301
xss常用pyload,及原理解释: ‘ JavaScript 中的方法 <script>标签:<script> 和 </script> 会告诉 JavaScript 在何处开始和结束。 alert() 方法:用于显示带有一条指定消息和一个 OK 按钮的警告框。 prompt() 方法:用于显示一个带有提示信息,并且用户可以输入的对话框。 document.write() 方法:打印指定的内容到页面上 document.cookie:使用 document.
XSS payload (大集合)
m0_51186260的博客
10-18 2981
<script>alert(/xss/)</script> <script>alert(&#38;XSS&#38;)</script> <script>alert(&quot;XSS&quot;)</script>(代替被转义的“”) <INPUT type="text"value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))&l
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1508
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
xss常用Payload总结
csd_ct的专栏
01-03 1万+
xss常用Payload总结 渗透测试时,常遇到页面输入框、留言板等输入交互点,大多是xss漏洞易出现的常见场景之一,记录几种常用的xss注入的姿势 1.img 注入 快速探测是否存在xss 1) <img src='x' onerror='alert(1)'> 2) <img src='x' onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,88,83,83,39,41))"> 2.iframe 注入 后台做了相
XSS payload 大全
weixin_33832340的博客
08-01 173
收集的一些XSS payload,主要分为五大类,便于查阅。 #第一类:Javascript URL <a href="javascript:alert('test')">link</a> <a href="java&#115;cript:alert('xss')">link</a> <a ...
PHPXSS注入的终极解决方案【信息安全】【Hack】
strike2206的博客
04-03 2566
PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数(百度可以查到)PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:1.尽量使用innerText(IE)和textContent(Firefox),也就是jQue...
xss payload大全(实用)
热门推荐
Bul1et的博客
01-25 2万+
验证xss的时候总感觉姿势不够 这下好了   这么多  任你随便插 '&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; ='&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; &lt;script&gt;alert(document.cookie)&lt;/scrip...
xss跨站脚本***大全
weixin_34331102的博客
03-20 449
(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无...
xss漏洞原理应用及常用payload总结
ldzhhh的博客
05-26 6114
xss简介 XSS攻击全称跨站脚本攻击(Cross Site Scripting),但为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一般只要有用户输入的地方,就可能会出现XSS漏洞。 可能造成的危害 网站弹框(刷流量) 网站挂马 会话劫持 控制目标数据 Cookie被盗取 用户提权 账号被盗 强制发送电子邮件 尽量DDOS 蠕虫攻
整理php注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7231
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
【Matlab仿真】资源useless,don‘t download
最新发布
07-12
【Matlab仿真】资源useless,don‘t download
岗位述职报告PPT模板 (4)
07-12
【作品名称】:岗位述职报告PPT模板 (4) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值