XSS SQL攻击过滤

最新推荐文章于 2020-12-21 13:25:50 发布
最新推荐文章于 2020-12-21 13:25:50 发布
阅读量381 收藏
点赞数
分类专栏: PHP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46105038/article/details/108018793
版权 
public function filter ($data){
$xss=[
'/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/',
'/script/',
'/javascript/',
'/vbscript/',
'/expression/',
'/applet/',
'/meta/',
'/xml/',
'/blink/',
'/link/',
'/style/',
'/embed/',
'/object/',
'/frame/',
'/layer/',
'/title/',
'/bgsound/',
'/base/',
'/onload/',
'/onunload/',
'/onchange/',
'/onsubmit/',
'/onreset/',
'/onselect/',
'/onblur/',
'/onfocus/',
'/onabort/',
'/onkeydown/',
'/onkeypress/',
'/onkeyup/',
'/onclick/',
'/ondblclick/',
'/onmousedown/',
'/onmousemove/',
'/onmouseout/',
'/onmouseover/',
'/onmouseup/',
'/onunload/'
];
if (is_array($data)){
foreach ($data as $key => &$value){
if (!is_array($value)){
//不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
//给单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)加上反斜线转义
$value = addslashes($value); 
//删除非打印字符,粗暴式过滤xss可疑字符串
$value = preg_replace($xss,'',$value);     
//去除 HTML 和 PHP 标记并转换为HTML实体
$value = htmlentities(strip_tags($value)); 
} else {
filter ($data[$key]);
     }
   }
 }
return $data;
}

在这里插入图片描述

不会代码的小林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java过滤器,防止XSSSQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java防sql注入攻击过滤
08-09
java防sql注入攻击过滤器 filter
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
qq_34896315的博客
06-05 776
1、首先配置web.xml,添加如下配置信息: <!-- 解决xss & sql漏洞 --> <filter> <filter-name>xssAndSqlFilter</filter-name> <filter-class>com.cup.cms.web.framework.filter.XssAnd...
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
防止xsssql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
扫描sql注入与xss攻击的牛b工具
11-02
在网络安全领域,SQL注入和XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
代码详解sql注入和XSS过滤
梦江黎
06-17 1434
代码详解sql注入和XSS过滤
xss漏洞攻击 html 标签过滤 sql注入
疯子的专栏
04-25 3144
<br />xss漏洞<br />感觉xss被执行的条件: <br />如果我们没有把用户输入组合成html代码让ie去解释,那么xss就没有机会得到触发.<br />我得程序里面,要把用户的输入存到后台,然后后台会返回给前台,前台显示.前台显示的时候有可能xss<br />用户输入的东西被当成html代码执行,从而有机会执行用户自己的脚本,指令<br />sql漏洞<br />sql漏洞执行条件<br />用户输入被当成sql语句执行.<br /><br />XSS漏洞报告<br />http://www
最严谨的校验email地址的正则表达式及各种语言对应版
01-19
通用 代码如下: (?:[a-z0-9!#$%&’*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&’*+/=?^_`{|}~-]+)*|”(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*”)@(?:(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5
小程序检测过滤关键字
TO_Web的博客
09-18 293
1.最近在做小程序的一个功能的时候(就是发布内容),上传审核提示没有关键词过滤的功能 ,于是就简单用了个正则的方法过滤一下; 当然如果你有钱可以花钱买接口拿来用 那你就可以忽略这个了哈~~ const searchReg = (name) => { return name.search(/关键词1|关键词2/); } // 检测是否含有关键词 let nameFlag = searchReg(关键词); if (nameFlag !
过滤关键字防止XSS攻击
weixin_30950887的博客
11-30 804
public static string ClearXSS(string str) { string returnValue = str; if (string.IsNullOrEmpty(returnValue)) { return string.Empty; } ///过滤C...
java防XSS攻击的 关键词过滤实现
weixin_43791937的博客
05-15 1385
继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 对
xss绕过字符过滤_XSS过滤器绕过总结
weixin_39610353的博客
12-21 1218
XSS过滤器绕过总结黑名单过滤器绕过黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。1. 注入脚本代码主要是标签,可用于执行客户端脚本代码,例如JavaScript。 它是为此目的而设计的,当然,这是大多数过滤器阻止的第一个首选。1.1 绕过弱标签过滤简单的过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对...
织梦会员和图集模型编辑文档checkbox多选字段失效逗号,被过滤问题
zhang01457的博客
04-01 344
织梦逗号被过滤问题的表现 图集模型编辑文档checkbox多选字段失效 图集模型编辑文档逗号被过滤 tag标签的逗号失效 高级搜索多选逗号被过滤 会员发布文档自定义字段逗号被过滤 会员自定义字段内容逗号被过滤解决方法 打开 /member/config.php 找到,大概在第19行 if(in_array($key,array('tags','body','dede_fields'...
php防止xss攻击以及sql注入
zhumengstyle的博客
12-17 686
function SafeFilter (&amp;amp;$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
php 正斜杠‘/’和反斜杠'\'的区别
lmp5023的博客
09-16 3992
$val=preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','',$val); 正斜杆用于相当于一个括号包裹住内容,反斜杆就是 将下一个字符标记为一个特殊字符、或一个原义字符、或一个 向后引用、或一个八进制转义符。例如,'n' 匹配字符 "n"。'\n' 匹配一个换行符。序列 '\\' 匹配 "\" 而 "\(" 则匹配 "(...
sql 注入防护与xss攻击防护
孙雪峰
04-26 1169
sql注入防护】 1、过滤关键字 限制mysql关键字以输入的形式注入sql,防止恶意代码对数据库产生破坏 2、控制输入字符长度 防止输入以16进制码注入,以长度限制,补充过滤关键字的漏洞 3、关闭php错误提示 防止sql输入试探,避免用户试探数据库名称、数据表名称等 4、数据库权限控制 控制用户权限,限制用户通过恶意代码注入进行恶意操作。          【xs
SQL注入、XSS攻击
最新发布
05-09
SQL注入是一种常见的网络安全漏洞,攻击者可以通过在网站表单或URL参数中注入恶意SQL代码,来获取或篡改数据库中的数据。为防止SQL注入攻击,应该使用参数化查询或存储过程,而不是直接将用户输入拼接到SQL语句中。 XSS攻击(Cross-Site Scripting)是一种利用Web应用程序漏洞攻击用户的技术,攻击者可以在网页中插入恶意脚本代码,当用户浏览页面时,脚本代码会在用户浏览器中执行,从而窃取用户的信息或进行其他恶意操作。为防止XSS攻击,应该对用户的输入进行过滤和转义,以确保任何输入的内容都被视为数据而不是代码。另外,也可以使用HTTP头中的CSP(Content Security Policy)来限制网页中JavaScript的执行权限,从而防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会代码的小林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值