xss php 转义_整理php防注入和XSS攻击通用过滤

最新推荐文章于 2024-04-25 15:55:39 发布
最新推荐文章于 2024-04-25 15:55:39 发布
阅读量406 收藏 2
点赞数
文章标签: xss php 转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39963523/article/details/115103833
版权

对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的

2. 弱类型的脚本语言必须保证类型和期望的一致

3. 考虑周全的正则表达式

4. strip_tags、htmlspecialchars 这类函数很好用

5. 外部的 Javascript 不一定就是可靠的

6. 引号过滤必须要重点注意

7. 除去不必要的 HTML 注释

8. Exploer 求你放过我吧……

方法一,利用php htmlentities函数

例子

php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目

最低0.47元/天 解锁文章
weixin_39963523
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php处理 xss方法,php实现XSS安全过滤的方法
weixin_33132553的博客
03-29 840
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // ...
PHP XSS攻击范--如何过滤用户输入
zhibin的程序日记
12-27 4918
一、什么是XSS攻击 XSS攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 来看一个简单的例子: <?php $slogan_type = isset($_GET['slogan_type']) ? $_GET['slogan_type'] : 'default'; ?>
php实现XSS安全过滤的方法
12-19
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下: function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as // note that you have to handle splits with \n, \r, and \t later since they *a
如何在 PHPXSS
allway2的博客
07-24 2098
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1980
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP实现表单提交数据的验证处理功能【SQL注入XSS攻击等】
10-19
总的来说,范SQL注入XSS攻击的关键在于对用户输入进行严格的验证和过滤,并使用安全的数据库操作方法。在开发过程中,始终牢记“不要信任任何用户输入”,并确保在处理数据时采取充分的安全措施。
XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
php处理xss攻击过滤.rar
01-18
7. **更新和补丁**:保持PHP和所有依赖库的最新状态,及时安装安全补丁,可以抵御新出现的攻击手段。 在这个压缩包中,我们期待找到一个精心设计的PHP类,它可能包含了以上提到的一些或所有方法,用于检测、清理和...
php_XSS攻击插件
05-29
"php_XSS攻击插件"提供了一个DEMO和使用手册,这将帮助开发者快速理解和应用这个插件。DEMO通常包含一个示例场景,演示如何在实际项目中集成和使用插件。使用手册则会详细介绍配置选项、方法调用以及可能遇到的...
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
php处理xssphpxss攻击,php xss过滤函数
weixin_28811757的博客
03-11 422
作为一个网站的开发人员,经常会遇到各种攻击,最常见的就是XSS攻击,接下来吾爱编程就为大家介绍一下PHP过滤XSS攻击的函数,有需要的小伙伴可以参考一下:1、描述:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、...
php通用过滤,php通用注入XSS攻击全局过滤代码
weixin_33778479的博客
03-10 247
//php注入XSS攻击通用过滤.//byqq:831937$_GET&&SafeFilter($_GET);$_POST&&SafeFilter($_POST);$_COOKIE&&SafeFilter($_COOKIE);functionSafeFilter(&$arr){$ra=...
{{PHP}}过滤XSS的简单方法
WEBCODE
06-27 232
&lt;?php class Env { public static function __callStatic($func, $args) { $dict = array('$_GET', '$_POST', '$_REQUEST', '$_COOKIE', '$_SERVER'); if(!isset($args[0])) return ''; $para...
php全局过滤,php通用全局安全过滤xss & 注入
weixin_42100971的博客
03-27 376
//php注入XSS攻击通用过滤.//by qq:831937$_GET && SafeFilter($_GET);$_POST && SafeFilter($_POST);$_COOKIE && SafeFilter($_COOKIE);function SafeFilter (&$arr){if (is_a...
前端安全(一)XSS攻击原理及
qq_34416331的博客
12-18 2390
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
PHP中如何范跨站脚本攻击XSS)?有哪些护措施?
最新发布
aronSandy的博客
04-25 1101
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而止恶意脚本的注入和执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符和标签。
php 避免xss_php如何xss
weixin_39611037的博客
03-09 136
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。phpxss的方法有在输出html时,加上Content Security Policy的Http Header;在设置Cookie时,加上Htt...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6456
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
使用PHP转义函数:避免XSS漏洞
lcradio的专栏
02-28 1291
近期出现很多CMS出现XSS漏洞等新闻,PHP作为比较安全的网络编程语言,也变得“不那么安全”,其实,注意使用PHP中常用的转义函数、安全函数就可以过滤大部份常见的攻击手段,如SQL注入XSS攻击等。 1. htmlentities htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的
php止sql注入xss攻击
06-01
止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值