php 防止注入 xss,PHP 安全输入输出方式 「防止 XSS 注入」

最新推荐文章于 2023-05-04 10:22:52 发布
最新推荐文章于 2023-05-04 10:22:52 发布
阅读量309 收藏
点赞数
文章标签: php 防止注入 xss

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。我在开发中使用严进严出的安全保障方式:

保证安全输入(严进)

添加中间件,对所有参数进行过滤转换:

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签

class XSSFilter

{

public function handle($request, Closure $next)

{

// 配置不执行过滤转换参数项,如 env 配置: XSS_EXCEPT=article_contents,html_contents

$param_except_string = config('const.xss_filter_param_except');

$param_except = [];

if (!empty($param_except_string)) {

$param_except = explode(',', $param_except_string);

}

$input = $request->except($param_except);

array_walk_recursive($input, function (&$input) {

// $input = strip_tags($input); // 清除标签内容

$input = htmlspecialchars($input, ENT_NOQUOTES, 'UTF-8', false); // 过滤转换预定符号

});

$request->merge($input);

return $next($request);

}

}

使用安全输出(严出)

Laravel 安全输出方式

Blade 模板中使用转义输出:{{ }}

直接输出时,使用 e() 函数进行过滤

Bad:

$nickname = "x测试昵称";

{!! $nickname !!}

@php

echo $nickname

@endphp

Good:

$nickname = "x测试昵称";

{{ $nickname }}

@php

echo e($nickname);

@endphp

等同于:

使用 htmlspecialchars 进行过滤转换

Bad:

$nickname = "x测试昵称";

echo $nickname;

Good:

function p($value) {

return htmlspecialchars($value, ENT_QUOTES, 'UTF-8', false);

}

$nickname = "x测试昵称";

echo p($nickname);

开启 httpOnly

开启 httpOnly 后,禁止 JavaScript 脚本直接读取该 Cookie 内容

Laravel Session

创建 Cookie 时,调用

cookie($name = null, $value = null, $minutes = 0, $path = null, $domain = null, $secure = false, $httpOnly = true)

最后一个参数 $httpOnly = true

PHP 原生 Session

如果是 PHP 原生 Session 对应 Cookie 键值默认为: PHPSESSID

需要手工修改 php.ini 配置开启 httpOnly: Session.cookie_httponly = On

本作品采用《CC 协议》,转载必须注明作者和本文链接

y咯p秒杀软
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止xss攻击以及sql注入
abchuangyoucheng的博客
07-27 416
php防止xss攻击以及sql注入 1、核心函数 /** 防止sql注入已经xxs攻击 */ function SafeFilter (&$arr) { $ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/appl...
xss php 转义_整理php注入XSS攻击通用过滤
weixin_39963523的博客
03-09 435
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
PHP防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php防止SQL注入的最佳解决方法php防止
php 避免xss_PHP防止XSS注入
weixin_30682635的博客
03-09 402
我们在做网站的时候,经常有input提交,通常前端对input中的内容不做判断,只做不为空等简单的操作。但是,有的input中会提交一些javascript或者html,会给网站造成一定的危害。为此,防止XSS注入的任务交给了后端,后端防止XSS注入函数如下:function RemoveXSS($val) {// remove all non-printable characters. CR(0...
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 239
【代码】PHP 过滤XSS攻击。
phpxss注入,PHPXSS 防SQL注入的代码
weixin_39671935的博客
04-09 91
这里提供了一个函数,用来过滤用户输入的内容!使用POST传值的时候,可以调用这个函数进行过滤!/***过滤参数*@paramstring$str接受的参数*@returnstring*/staticpublicfunctionfilterWords($str){$farr=array("/]*?)>/isU","/(]*)on[a-zA-Z]+\s*=([^>]...
php操作mysql防止sql注入(合集)
热门推荐
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
PHP如何防止XSS攻击与XSS攻击原理
Daisy的博客
10-10 1387
转载至:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这...
整理php注入XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7245
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
PHP如何防止XSS攻击与XSS攻击原理的讲解
10-17
5. 设置内容安全策略(Content Security Policy, CSP):CSP是一种额外的安全层,用来帮助检测和缓解某些类型的攻击,比如XSS和数据注入攻击。通过定义CSP策略并将其包含在HTTP响应头中,可以指导浏览器仅加载和执行...
浅析php过滤html字符串,防止SQL注入的方法
10-27
过滤HTML字符串通常是为了清理用户输入的数据,防止诸如跨站脚本攻击(XSS)等安全漏洞。在PHP中,可以通过多种方法来过滤HTML字符串。一个常用的方法是使用`htmlspecialchars`函数,它能够将特殊的HTML字符转换为...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
最新发布
05-06
了解如何防止SQL注入,如使用预处理语句、参数化查询或存储过程,是PHP开发者必备的安全技能。 2. 文件上传:不安全的文件上传可能导致恶意文件执行或信息泄露。开发者应确保只有指定类型的文件可以被上传,并对...
PHP Web 应用程序中防止 XSS 的最佳实践
allway2的博客
07-24 361
如果您拥有与任何其他用户类似的cookie,您可以在浏览器中访问他们的所有数据,因为您在恶意搜索框中进行了搜索。跨站点脚本创建的风险比您预期的要高,因为它不仅允许攻击者获取用户数据和信息,这是许多其他漏洞在此攻击中旨在实现的使用XSS有一个附加功能攻击者在网站上犯下这些罪行,在用户看来,这些网站应该是完全值得信赖的,所以他们不必担心这种盗窃行为的发生,也不必考虑戴上眼罩。稍后,当网络用户访问该页面时,他可能会在不知不觉中检索该文件,因此脚本将在用户的浏览器中运行。这种攻击的严重性非常高。...
PHP 安全手册 第五条 输出转义 最好的MYSQL 转义函数 mysql_real_escape_string
大任的网络专栏
01-29 708
过滤的延深 就是转义,有些数据是无法进行过滤,但还必须存在的时候,就要进行转义 尤其在数据库中查找,或是写入的时候,很重要  作为一项应用的开发者,你必须知道每一个向外部系统输出的地方。它们构成了输出。        象过滤一样,转义过程在依情形的不同而不同。过滤对于不同类型的数据处理方法也是不同的,转义也是根据你传输信息到不同的系统而采用不同的方法。        对
PHP 防止SQL注入漏洞
XF Android专栏
01-30 387
开发项目时,不止要考虑项目快速上线,考虑到项目的质量,同时重中之重要考虑到项目的安全性,防止数据泄露,防止数据库被删除,防止数据被篡改等严重的漏洞问题,今天分享一个简单的SQL注入防御,通过在项目入口文件直接引用该类,能防御大部分的表单提交注入的sql语句。涉及到一些特殊的SQL指令,需要自行添加。
PHP防范XSS攻击
IT部落格
03-03 2784
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
php 安全经验,这对PHP中的用户输入是否足够安全
weixin_35369702的博客
03-12 103
在阅读了PHP安全性之后,我觉得我编码的任何东西都是不安全的.因此,为了解决用户输入的安全问题,我创建了一个函数,允许我在任何使用情况下转义并删除用户输入.我想知道这实际上是否安全,如果我能使它更安全.这会阻止什么样的攻击?从我可以通过使用_GET告诉XSS,HTML输入和MYSQL注入将被阻止?function _INPUT($name,$tag,$sql,$url){if ($_SERVER[...
PHP安全编程:防止SQL注入XSS攻击策略
"该PDF文件主要探讨了PHP编程中常见的安全漏洞,包括SQL注入、跨站脚本(分为反射式和存储式)以及跨站请求伪造和命令行注入。文件着重于如何识别这些漏洞并提供了相应的防御策略。" 在PHP编程中,安全问题是一个至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值