php绕过html标签,php特殊字符过滤,html标签处理

最新推荐文章于 2024-03-19 21:34:01 发布
最新推荐文章于 2024-03-19 21:34:01 发布
阅读量597 收藏
点赞数
文章标签: php绕过html标签

1,magic_quotes_gpc

默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

其实这个函数就是判断PHP有没有自动调用addslashes 这个函数

例子:判断是否开启magic_quotes_gpc ,如果没有开启则用stripslashes处理字符串

define('SYS_MAGICGPC', get_magic_quotes_gpc());

$_POST = magic_gpc($_POST);

function magic_gpc($string) {

if(SYS_MAGICGPC) {

if(is_array($string)) {

foreach($string as $key => $val) {

$string[$key] = magic_gpc($val);

}

} else {

$string = stripslashes($string);

}

}

return $string;

}

2,addcslashes()

定义和用法addcslashes() 函数在指定的字符前添加反斜杠。

语法addcslashes(string,characters)参数 描述

string 必需。规定要检查的字符串。

characters 可选。规定受 addcslashes() 影响的字符或字符范围。

提示和注释

注释:在对 0,r,n 和 t 应用 addcslashes() 时要小心。在 PHP 中,\0,\r,\n 和 \t 是预定义的转义序列。

实例

例子 1在本例中,我们要向字符串中的特定字符添加反斜杠:

$str = "Hello, my name is John Adams.";

echo $str;

echo addcslashes($str,'m');

echo addcslashes($str,'J');

?>

输出:Hello, my name is John Adams.

Hello, \my na\me is John Ada\ms.

Hello, my name is \John Adams.

而函数addslashes()的使用:

PHP addslashes() 函数

定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。

这些预定义字符是:

•单引号 (')

•双引号 (")

•反斜杠 (\)

•NULL

语法addslashes(string)参数 描述

string 必需。规定要检查的字符串。

提示和注释提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。

例子在本例中,我们要向字符串中的预定义字符添加反斜杠:

$str = "Who's John Adams?";

echo $str . " This is not safe in a database query.
";

echo addslashes($str) . " This is safe in a database query.";

?>

输出:Who's John Adams? This is not safe in a database query.

Who\'s John Adams? This is safe in a database query.

stripcslashes()和stripslashes()

他们都有对应的去除他们添加的反斜杠的方法,分别是:stripcslashes()和stripslashes()。

htmlspecialchars

替换html代码中的标签

定义和用法

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号)成为 &

" (双引号)成为 "

' (单引号)成为 '

< (小于)成为 <

> (大于)成为 >

默认替换上面的几个

htmlspecialchars_decode()用法刚好和上面的相反.

strip_tags

去掉字符串中的html标签只保留文字

举例:

$str = '此处是中文';

echo strip_tags($str);

//结果是:此处是中文

php有效的过滤html标签&comma;js代码&comma;css样式标签

过滤html标签�php中太简单了,我们可以直接使用strip_tags函数来实现了,下面给各位整理了一些关于 strip_tags函数的例子. php过滤html的函数:strip_tags(str ...

java正则表达式过滤html标签

import java.util.regex.Matcher; import java.util.regex.Pattern; /** *

* Title: HTML相关的正则表达 ...

运用正则表达式在Asp中过滤Html标签代码的四种不同方法

Function RemoveHTML(strHTML)Dim objregExp, Match, MatchesSet objRegExp = New RegexpobjRegExp.IgnoreC ...

PHP过滤HTML标签的三种方法

在做项目的过程中,我们经常需要用到过滤一些html标签来实现提高数据的安全性,其实就是删除那些对应用程序有潜在危害的数据.它用于去除标签以及删除或编码不需要的字符.首先分享一些比较常见的 $str=p ...

php正则过滤html标签、空格、换行符的代码,提取图片

$descclear = str_replace("r","",$descclear);//过滤换行 $descclear = str_replace(&quo ...

ASP&period;NET过滤HTML标签只保留换行与空格的方法

这篇文章主要介绍了ASP.NET过滤HTML标签只保留换行与空格的方法,包含网上常见的方法以及对此方法的改进,具有一定的参考借鉴价值,需要的朋友可以参考下   本文实例讲述了ASP.NET过滤HTML ...

PHP过滤常用标签的正则表达式

$str=preg_replace("/\s+/", " ", $str); //过滤多余回车 $str=preg_replace("/

php 过滤html标签的函数

1:strip_tags(string,allow)用来过滤html标签,参数string必须,allow是指定允许哪些标签通过. 例如: <?php $info='

java过滤html标签函数

public static String Html2Text(String inputString) {              String htmlStr = inputString; //含h ...

php过滤HTML标签、属性等正则表达式汇总

$str=preg_replace("/\s+/", " ", $str); //过滤多余回车 $str=preg_replace("/

随机推荐

Intellij IDEA 13&period;1&period;3 字体&comma;颜色&comma;风格设置

作者QQ:1095737364 打开file-->settings,然后根据提示完成设置,当然,可以根据自己的爱好设置自己的风格,那个工程区的背景我还没有找到在什么地方,如果你找到了麻烦告诉我一 ...

使用 Python 切割图片

刚好我有张 PNG 图片需要均匀切割,刚好我不会 PhotoShop,刚好我想用 Python 来练练手. 于是撸袖子码脚本. import os from PIL import Image def ...

Jquery学习笔记:利用jquery获取select下拉框的值

jquery不是特别熟练,每次使用不常用的就要百度,特地记录下来. 我的下拉框是:

PostgreSQL应用相关问题解决

PostgreSQL中是否区分聚簇索引与非聚簇索引的问题? 答:PostgreSQL中区分聚簇索引与非聚簇索引. 示例如下: 创建聚族索引: CREATE INDEX test_ind ON yy ( ...

cocos2d-x在android中响应返回键编译报错的bug分析

先看一段代码如何在Android中加入返回按键的响应 自己派生CCKeypadDelegate的子类,然后注 ...

ado通用操作数据单元

DELPHI开发2层C/S数据库应用程序,许多人通过ADOQUERY或ADOTABLE直接操作数据库,其实这种方法虽然最为直接,但有其缺点:如果以后要将程序升级为3层C/S会非常困难.而通过像下面的通 ...

【设计模式 - 15】之解释器模式(Interpreter)

1      模式简介 解释器模式允许我们自定义一种语言,并定义一个这种语言的解释器,这个解释器用来解释语言中的句子.由于这种模式主要用于编译器的编写,因此在日常应用中不是很常用. 如果一种特定类型的 ...

xhprof

#官网下载 http://pecl.php.net/package/xhprof tar zxf xhprof-0.9.2.tgz   cd xhprof-0.9.2/extension/   sud ...

Java经典问题算法大全

/*[程序1] 题目:古典问题:有一对兔子.从出生后第3个月起每一个月都生一对兔子.小兔子长到第三个月后每一个月又生一对兔子,假如兔子都不死.问每一个月的兔子总数为多少?  1.程序分析: 兔子的规律 ...

jfinal集成spring cxf做webservice服务

链接地址:http://zhengshuo.iteye.com/blog/2154047 废话不说,直接上代码 新增cxf的plugin CXFPlugin package com.jfinal.pl ...

weixin_39802814
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件上传漏洞(漏洞产生因素、前端验证绕过php标签绕过)
ShenZ的博客
08-07 1185
文件上传漏洞 copy xx.png/b+xx.txt xx.png 在嵌入了php脚本的html中,使用 phtml作为后缀名 php,php3,php4,php5,phtml.pht 上传漏洞相关因素 1.可解析的后缀, 也就是该语言有多个可解析的后缀,比如php语言可解析的后缀为php,php2,php3等等 2.大小写混合, 如果系统过滤不严,可能大小写可以绕过。 3.中间件, 每款中间件基本都解析漏洞,比如iis就可以把xxx.asp;.jpg当asp来执行。 4.系统特性, 特别是Window
某校园内网渗透测试
qq_28624871的博客
05-10 3445
信息收集   一、基础信息 目标系统是windows, 服务层有IIs6.0,Apache-Web-Server, 支撑层有ASP.NET,ASP,jQuery,VisualSVN,PHP5.2.6   二、端口开放情况: 利用goby对ip进行扫描,使用nmap工具也同样能扫出所有开放的端口   三、资产探测: 结合goby和nmap扫描的端口情况,手工探测了下,发现总共有5个web应用,以及开放了MySQL、RDP服务。 端口 应用 运行环境 备注 501 WEB:xxxxxxx网络课
PHP标签、双写绕过
2401_82985722的博客
03-19 179
文件中包含了PHP代码,但是在上下文中不被允许。(后端利用正则限制匹配PHPphp)上传的文件类型不是有效的 JPEG 图片格式。短标签会直接把php的结果输出,原来的路径中存在php。用pphpph双写绕过。·这都不做(web)(此题免杀马不可用)连接蚁剑,得flag。
PHP代码层防护与绕过
10-24 376
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
PHP特性之CTF中常见的PHP绕过
Welcome To Myon'Blog !
07-18 5366
一、关于md5()和sha1()的常见绕过 1、使用数组绕过 2、 使用特殊字符绕过 二、strcmp绕过 三、switch绕过 四、intval绕过
渗透测试 | php的webshell绕过方法汇总
zkaqlaoniao的博客
12-26 176
这里设置一个用户自定义函数a,当里面有参数时,返回该参数的内容,这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST),相当于是a($a),会返回$a的内容,结果为$_REQUEST,最后一行的实际内容为eval($_REQUEST[1]);测试可以正常连接phpclass User?
php字符串过滤strip_tags()函数用法实例分析
10-16
主要介绍了php字符串过滤strip_tags()函数用法,结合实例形式分析了php字符串过滤函数strip_tags()功能、参数及相关使用技巧,需要的朋友可以参考下
PHP过滤★等特殊符号的正则
01-20
复制代码 代码如下: if(preg_match(“/[ ‘.,:... 您可能感兴趣的文章:Mysql语法、特殊符号及正则表达式的使用详解Linux中的特殊符号与正则表达式正则表达式中特殊符号及正则表达式的几种方法总结(replace,test,search)
PHP代码审计(含详细文件目录)
04-05
02 绕过过滤的空白字符.php 03 多重加密.php 04 SQL注入_WITH ROLLUP绕过.php 05 ereg正则%00截断.php 06 strcmp比较字符串.php 07 sha()函数比较绕过.php 08 SESSION验证绕过.php 09 密码md5比较绕过.php 10 url...
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。二、函数是否安全接下来...
PHP利用str_replace防注入的方法
12-19
PHP各种过滤字符函数复制代码 代码如下: <?php /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(‘ ’,”,$string); $string = ...
php rce和绕过
m0_73973498的博客
10-08 1233
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
常见php函数绕过
huangyongkang666的博客
03-31 4036
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
[红明谷CTF 2021]write_shell php标签绕过
scrawman的博客
11-28 3398
[红明谷CTF 2021]write_shell 考的是php里的绕过,因为正则过滤php ; ~ eval等字符,所以php标签<?php?>写入不了 https://xz.aliyun.com/t/8107#toc-11这个文章讲绕过讲的挺详细的 对于这道题目可以用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则和<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php
php绕过漏洞的函数,CVE-2004-0595 PHP strip_tags()函数绕过漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_42505252的博客
04-06 335
|参考资料resource:hyperlink:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000847resource:hyperlink:http://lists.grok.org.uk/pipermail/full-disclosure/2004-July/023909.htmlresource:hyperlin...
php 绕过gpc,TinyShop SQL注入(开启GPC,绕过过滤
weixin_42104778的博客
03-24 1111
### 简要描述:之前的都是找程序员的疏忽,这个位置是绕过程序的防注入。### 详细说明:环境:GPC = On```public static function sql($str) //过滤函数{if (!get_magic_quotes_gpc()){ //gpc off 就转义,把之前那个奇葩的漏洞补了//不使用主要是因为,先有mysql的连接//$str = mysql_real_es...
php5中的GPC绕过缺陷
zhangjjjc的专栏
02-10 1826
magic_quotes_gpc选项是php中的一个重要的安全设置,当该选项为ON也就是打开的时候,所有从GET,POST,COOKie传递过来的数据中的',", \,以及NULL等元字符都会被自动的加上\实现转义,这个选项使得Sql注入或者插入代码以及XSS中引入字符串或者改变程序流程变得困难,但是在php5中一些特殊变量的存在使得在某些情况下,还是会被恶意用户引入元字符到数据库以及程序中。
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
xss之PHP_SELF绕过
最新发布
03-29
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在受害者的网页上执行恶意脚本。而PHP_SELF是PHP中的一个超全局变量,它包含了当前脚本的文件路径和文件名。 在使用PHP_SELF时,如果没有进行适当的过滤和验证,攻击者可以通过构造恶意的输入来绕过安全措施,从而进行XSS攻击。一种常见的绕过方式是通过在URL中注入恶意的脚本代码。 为了防止XSS攻击,我们应该对用户输入进行严格的过滤和验证,并使用适当的编码方式来输出数据。在处理用户输入时,可以使用函数如htmlspecialchars()来转义特殊字符,或者使用过滤器函数如filter_input()来过滤输入数据。 另外,还可以采取以下措施来增强安全性: 1. 使用CSP(内容安全策略)来限制页面中可以加载的资源。 2. 设置HTTP头中的X-XSS-Protection选项来启用浏览器内置的XSS过滤器。 3. 使用安全的编码方式,如将用户输入作为属性值时使用引号包裹。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值