php如何防止xss攻击

最新推荐文章于 2023-07-18 09:30:46 发布
最新推荐文章于 2023-07-18 09:30:46 发布
阅读量640 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54963682/article/details/114661824
版权

php如何防止xss攻击

php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。

在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。

所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialchar( s t r i n g , E N T Q U O T E S ) 转 化 单 引 号 和 双 引 号 , 如 果 不 需 要 编 译 任 何 的 引 号 , 则 使 用 h t m l s p e c i a l c h a r ( string,ENT_QUOTES) 转化单引号和双引号,如果不需要编译任何的引号,则使用htmlspecialchar( string,ENTQUOTES)使htmlspecialchar(string,ENT_NOQUOTES)

另外,尽量少使用htmlentities,在全部英文的时候htmlentities和htmlspecialchar没有区别,都可以达到目的。但是中文情况下,htmlentities却会转化所有的html代码,连同里面的它无法识别的中文符也给转化了。

htmlentites和htmlspecialchar这两个函数‘之类的字符串支持不好,都不能转化,所以用htmlentities和htmlspecialchar转化的字符串只能防止xss攻击,不能SQL注入。

所有有打印的语句echo、print等在打印前都要使用htmlentities进行过滤,这样可以防止xss,注意中文要写出htmlrntities($name,ENT_NOQUOTES,gb2312)。
参考文章:http://www.jieba8.com/

(1)网页不停的刷新 ’‘

(2) 嵌入其他网站的链接“ ”除了正常途径输入xss攻击字符串外,还可以绕过javascript检验,通过修改请求达到xss攻击的目的

//------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------//
function string_remove_xss($html) {
preg_match_all("/<([^<]+)>/is", $html, $ms);

$searchs[] = '<';
$replaces[] = '&lt;';
$searchs[] = '>';
$replaces[] = '&gt;';

if ($ms[1]) {
    $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
    $ms[1] = array_unique($ms[1]);
    foreach ($ms[1] as $value) {
        $searchs[] = "&lt;".$value."&gt;";

        $value = str_replace('&amp;', '_uch_tmp_str_', $value);
        $value = string_htmlspecialchars($value);
        $value = str_replace('_uch_tmp_str_', '&amp;', $value);

        $value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
        $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
                'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
                'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
                'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
                'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
                'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
                'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
                'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
                'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
        $skipstr = implode('|', $skipkeys);
        $value = preg_replace(array("/($skipstr)/i"), '.', $value);
        if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
            $value = '';
        }
        $replaces[] = empty($value) ? '' : "<" . str_replace('&quot;', '"', $value) . ">";
    }
}
$html = str_replace($searchs, $replaces, $html);

return $html;

}
//php防注入和XSS攻击通用过滤
function string_htmlspecialchars($string, KaTeX parse error: Expected '}', got 'EOF' at end of input: … if (is_array(string)) {
foreach ($string as $key => $val) {
s t r i n g [ string[ string[key] = string_htmlspecialchars($val, KaTeX parse error: Expected 'EOF', got '}' at position 17: …lags); }̲ } else { …flags === null) {
$string = str_replace(array(’&’, ‘"’, ‘<’, ‘>’), array(’&’, ‘"’, ‘<’, ‘>’), s t r i n g ) ; i f ( s t r p o s ( string); if (strpos( string);if(strpos(string, ‘&#’) !== false) {
$string = preg_replace(’/&((#(\d{3,5}|x[a-fA-F0-9]{4}))😉/’, ‘&\1’, $string);
}
} else {
if (PHP_VERSION < ‘5.4.0’) {
s t r i n g = h t m l s p e c i a l c h a r s ( string = htmlspecialchars( string=htmlspecialchars(string, $flags);
} else {
if (!defined(‘CHARSET’) || (strtolower(CHARSET) == ‘utf-8’)) {
$charset = ‘UTF-8’;
} else {
$charset = ‘ISO-8859-1’;
}
s t r i n g = h t m l s p e c i a l c h a r s ( string = htmlspecialchars( string=htmlspecialchars(string, $flags, $charset);
}
}
}

return $string;

}

//------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//

php中的设置

php5.2 以上版本以支持HttpOnly 参数的设置,同样也支持httpOnly的设置,在php.ini

session.cookie_htttponly=

设置为1或者true,来开启全局的cookie的httponly属性,当然也支持在代码中来开启

ini_set(‘cookie_httponly’,1); //或者使用 session_set_cookie_params(0,null,null,null);

Cookie 操作函数setcookie函数和setrawcookie也专门添加了第七个参数来作为httpOnly的选项,开启方法为:

setcookie(‘abc’,‘test’,null.null.null,null.true);

setrawcookie(‘abc’,‘test’,null,null,null,null,true);
上一篇:http://www.xdy666.com/
下一篇:http://www.xitong5s.com/

weixin_54963682
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP Remove _xss XSS过滤函数
10-14
PHP Remove _xss XSS过滤函数 一个比较严格的XSS过滤类
PHP中如何防范跨站脚本攻击(XSS)?有哪些防护措施?
最新发布
aronSandy的博客
04-25 1152
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而防止恶意脚本的注入和执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符和标签。
xss-labs通关,xss漏洞详解
qq_47289634的博客
01-12 1200
XSS 的原理是 WEB 应用程序混淆了用户提交的数据和 JS 脚本的代码边界,导致浏览器把用户的输入当成了 JS 代码来执行。XSS 的攻击对象是浏览器一端的普通用户。XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意用户的特殊目的。
xss漏洞闯关
cortanaji的博客
01-15 798
Xss的定义: XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 对JavaScriptalert()函数的使用,alert--弹出消息对话框,并且alert消息对话框通常用于一些对用户的提示信息。 Level 1 反射性 先找到输入点(test 4) 再找到输出点(t...
thinkphp6 过滤XSS攻击 详解
jack_qinSer的博客
12-15 614
首先使用composer执行命令 composer require ezyang/htmlpurifier 在app/common.php公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
剔除危险的字符信息 防止 跨站脚本攻击
龚清林的博客
04-08 458
/** +---------------------------------------------------------- * 功能:剔除危险的字符信息 +---------------------------------------------------------- * @param string $val +--------------------------------
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
### PHP实现的防止跨站和XSS攻击代码详解 #### 一、背景介绍 随着互联网技术的不断发展,网络安全问题日益凸显。其中,跨站脚本(Cross Site Scripting,简称XSS)攻击与SQL注入攻击是较为常见的两种安全威胁。为了...
php处理xss攻击过滤.rar
01-18
4. **使用预定义的安全函数**:PHP社区维护了一些库,如`htmlspecialchars`、`strip_tags`和`htmlentities`,这些函数可以帮助过滤和转义用户输入,防止XSS攻击。 5. **避免直接输出用户数据**:在生成HTML时,始终...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
xss_remove:用于从字符串中完全删除XSS的类。 在PHP
05-18
XSS / SQLi卸妆 用于从PHP字符串中完全删除XSS和SQLi的类。 安装 只需下载并添加到您的名称空间或库中。 用法 如果要清除简单的字符串,请使用cleanInput()函数。 $cleanString = Clean::cleanInput($dirtyString); 如果要使用各种值清洗数组,请使用cleanArray()函数。 $cleanArray = Clean::cleanArray($dirtyArray); 开发人员信息 所有方法都是静态的,因此您无需创建该类的新实例。 只需按原样使用即可。 它是安全的。 函数cleanInput($data, $addSlashes)有两个参数 $data data-要清除的已发布数据,在这种情况下为一个字符串 $addSlashes如果要使用$addSlashes ,为了提高安全性,请将其设置为TRUE ,默
PHPxss
fareast_mzh的博客
01-17 329
* trimscript.php <?php /** * xss过滤 * @param $str string * @return string */ function trim_script($str) { $str = preg_replace('/\\<([\\/]?)script([^\\>]*?)\\>/si', '&lt;\\1sc...
PHP实例——去除代码中XSS跨站脚本
weixin_33816821的博客
03-20 142
function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as &lt;java\0script&gt; // note tha...
php安全 xss,php实现XSS安全过滤的方法
weixin_39662594的博客
03-13 307
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as...
xss攻击 php,ThinkPHP防止XSS攻击的方法
weixin_32887779的博客
03-10 323
本篇文章介绍了设置TP防止XSS攻击的方法,希望对学习ThinkPHP的朋友有帮助!ThinkPHP防止XSS攻击的方法1 如果您的项目没有富文本编辑器 然后就可以使用全局过滤方法 在application下面的config配置文件 加上 htmlspecialchars// 默认全局过滤方法 用逗号分隔多个'default_filter' => 'htmlspecialchars',如果有...
如何在 PHP防止 XSS
allway2的博客
07-24 2114
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
什么是跨站脚本攻击(XSS)?如何在PHP应用程序中防止XSS攻击
长风破浪会有时的博客
07-18 233
跨站脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网页中插入恶意的客户端脚本。当用户浏览被攻击的网页时,恶意脚本将在用户的浏览器中执行,从而导致攻击者能够窃取用户的敏感信息、篡改网页内容或进行其他恶意行为。请注意,以上方法只是一些常见的防御措施,但不能保证100%防止XSS攻击。使用安全的数据库查询:当将用户输入用于数据库查询时,使用参数化查询或预编译语句,以确保输入数据被正确转义。输出编码:在将用户输入的数据输出到网页时,确保进行适当的编码,以防止浏览器将其误认为是脚本。
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2099
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP防范XSS攻击
IT部落格
03-03 2763
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
php写一个防止xss攻击
05-19
PHP 中,可以通过使用 htmlspecialchars() 函数来防止 XSS 攻击。该函数将特殊字符转换为 HTML 实体,从而使其无法被浏览器识别为代码。以下是一个示例: ```php // 获取用户输入 $input = $_POST['input']; //...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值