php xss防范函数,PHP防范XSS跨站脚本攻击的函数使用教程

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量130 收藏
点赞数
文章标签: php xss防范函数

跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。

$str = "A 'quote' is bold";

// 输出: A 'quote' is <b>bold</b>

echo htmlentities($str);

// 输出: A 'quote' is <b>bold</b>

echo htmlentities($str, ENT_QUOTES);

?>

这样可以使非法的脚本失效。

但是要注意一点,htmlentities()默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。

这里提供一个过滤非法脚本的函数:

function RemoveXSS($val) {

$val = preg_replace('/([x00-x08][x0b-x0c][x0e-x20])/', '', $val);

$search = 'abcdefghijklmnopqrstuvwxyz';

$search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

$search .= '1234567890!@#$%^&*()';

$search .= '~`";:?+/={}[]-_|'';

for ($i = 0; $i

$val = preg_replace('/([x|X]0'.dechex(ord($search[$i])).';?)/i', $search[$i], $val);    $val = preg_replace('/('.ord($search[$i]).';?)/', $search[$i], $val); // with a ;

}

$ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');

$ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');

$ra = array_merge($ra1, $ra2);

$found = true;

while ($found == true) {

$val_before = $val;

for ($i = 0; $i

$pattern = '/';

for ($j = 0; $j < strlen($ra[$i]); $j++) {

if ($j > 0) {

$pattern .= '(';

$pattern .= '([x|X]0([9][a][b]);?)?';

$pattern .= '|(([9][10][13]);?)?';

$pattern .= ')?';

}

$pattern .= $ra[$i][$j];

}

$pattern .= '/i';

$replacement = substr($ra[$i], 0, 2).''.substr($ra[$i], 2);

$val = preg_replace($pattern, $replacement, $val);

if ($val_before == $val) {

$found = false;

}

}

}

}

weixin_39544333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本漏洞(XSS)基础讲解(php处理防止XSS攻击类)
chenpeng0708的博客
04-14 1627
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执...
php伪协议xss,XSS跨站脚本攻击
weixin_35241867的博客
04-08 548
一、简介XSS(cross site script)是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。二、原因解析主要原因:过于信任客户...
整理php防注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7242
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1520
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
什么XSS攻击PHP防止XSS攻击函数
小白菜的专栏
03-22 705
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框: 2.XSS 输入也可能是 HTML 代码段,譬如: (1).网页不停地刷新 (2).嵌入其它网站的链接 防止XSS攻击测试路径:   其实
php如何防止xss攻击
XJ58678的博客
08-05 334
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htm...
PHP 安全:如何防止PHP中的XSS
新华编程特战队
04-24 1121
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
PHPXSS跨站攻击的防范
10-30
### PHPXSS跨站攻击防范详解 #### 一、XSS跨站攻击概述 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的安全威胁,尤其在Web应用程序中非常普遍。它允许攻击者注入恶意脚本到看似可信的网站上。当其他用户...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
### XSS跨站脚本攻击在Java开发中的防范方法 #### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终...
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,由于框架本身可能存在一些安全漏洞,使得XSS攻击成为可能。下面我们将深入探讨...
php过滤XSS攻击函数
10-26
XSS攻击,全称为跨站脚本攻击(Cross-site Scripting),是一种常见的网络攻击手段,攻击者通过在网页中注入恶意脚本,窃取用户数据或者对用户进行恶意操作。在PHP中,我们可以编写特定的函数来过滤和清理用户输入,...
PHP常用工具函数小结【移除XSS攻击、UTF8与GBK编码转换等】
10-17
PHP作为一种广泛使用的服务器端脚本语言,在防范XSS攻击方面也有诸多实用的函数和工具。本文将主要介绍PHP中用于移除XSS攻击函数,以及进行UTF-8与GBK编码转换的方法。 首先,我们来探讨PHP中的函数用于移除XSS...
如何在 PHP防止 XSS
allway2的博客
07-24 2130
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
PHP如何防止XSS攻击
qq_37913859的博客
07-07 466
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
Php修复xss,可以使用三个php函数修补xss漏洞
weixin_42306699的博客
04-10 680
php中修补xss漏洞,我们可以使用三个php函数。这些函数主要用于清除html标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的""符号转换成"<" 与"&gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。php code...
渗透测试之---PHP中常见的命令执行函数及其利用与防御
qq_43168364的博客
04-18 2060
一、概述 我们用脚本语言编写的应用程序,在执行的过程中可能会需要调用一些外部应用程序。它在调用时会用到一些系统命令函数,如果这些函数在调用的过程中将用户的输入作为参数,并且没用对用户输入的参数做限制的话,攻击者就可以利用这样的漏洞进行破坏。接下来我们来看看PHP中常见的命令执行函数。 二、常见的命令执行函数 system() ; exec() ; shell_exec() ;passthru......
PHP防范XSS攻击
IT部落格
03-03 2771
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
JVC AV-29L31彩电维修手册和图纸.rar
最新发布
08-19
JVC AV-29L31彩电维修手册和图纸
XSS跨站攻击详解:危害、类型与JavaScript知识
"XSS跨站攻击" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它发生在攻击者能够在用户浏览器中注入恶意脚本时。这种攻击通常发生在网站没有正确地过滤或编码用户输入的情况下,使得恶意代码能够与合法的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值