php如何防止xss攻击

最新推荐文章于 2022-08-16 08:56:35 发布
最新推荐文章于 2022-08-16 08:56:35 发布
阅读量328 收藏 1
点赞数
文章标签: php javascript ViewUI
原文链接:http://www.cnblogs.com/shangfz/p/11301335.html
版权

php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。

在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。

所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialchar($string,ENT_QUOTES) 转化单引号和双引号,如果不需要编译任何的引号,则使用htmlspecialchar($string,ENT_NOQUOTES)

另外,尽量少使用htmlentities,在全部英文的时候htmlentities和htmlspecialchar没有区别,都可以达到目的。但是中文情况下,htmlentities却会转化所有的html代码,连同里面的它无法识别的中文符也给转化了。

htmlentites和htmlspecialchar这两个函数‘之类的字符串支持不好,都不能转化,所以用htmlentities和htmlspecialchar转化的字符串只能防止xss攻击,不能SQL注入。

所有有打印的语句echo、print等在打印前都要使用htmlentities进行过滤,这样可以防止xss,注意中文要写出htmlrntities($name,ENT_NOQUOTES,gb2312)。

(1)网页不停的刷新 ’<meta http-equiv='refresh' content=0>‘

  (2) 嵌入其他网站的链接“<iframe src=http://xxx width=250  height=250 > </iframe> ”除了正常途径输入xss攻击字符串外,还可以绕过javascript检验,通过修改请求达到xss攻击的目的


//------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------//
function string_remove_xss($html) {
    preg_match_all("/\<([^\<]+)\>/is", $html, $ms);
 
    $searchs[] = '<';
    $replaces[] = '&lt;';
    $searchs[] = '>';
    $replaces[] = '&gt;';
 
    if ($ms[1]) {
        $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
        $ms[1] = array_unique($ms[1]);
        foreach ($ms[1] as $value) {
            $searchs[] = "&lt;".$value."&gt;";
 
            $value = str_replace('&amp;', '_uch_tmp_str_', $value);
            $value = string_htmlspecialchars($value);
            $value = str_replace('_uch_tmp_str_', '&amp;', $value);
 
            $value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
            $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
                    'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
                    'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
                    'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
                    'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
                    'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
                    'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
                    'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
                    'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
            $skipstr = implode('|', $skipkeys);
            $value = preg_replace(array("/($skipstr)/i"), '.', $value);
            if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
                $value = '';
            }
            $replaces[] = empty($value) ? '' : "<" . str_replace('&quot;', '"', $value) . ">";
        }
    }
    $html = str_replace($searchs, $replaces, $html);
 
    return $html;
}
//php防注入和XSS攻击通用过滤 
function string_htmlspecialchars($string, $flags = null) {
    if (is_array($string)) {
        foreach ($string as $key => $val) {
            $string[$key] = string_htmlspecialchars($val, $flags);
        }
    } else {
        if ($flags === null) {
            $string = str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string);
            if (strpos($string, '&amp;#') !== false) {
                $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
            }
        } else {
            if (PHP_VERSION < '5.4.0') {
                $string = htmlspecialchars($string, $flags);
            } else {
                if (!defined('CHARSET') || (strtolower(CHARSET) == 'utf-8')) {
                    $charset = 'UTF-8';
                } else {
                    $charset = 'ISO-8859-1';
                }
                $string = htmlspecialchars($string, $flags, $charset);
            }
        }
    }
 
    return $string;
}

//------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//

 

php中的设置

php5.2 以上版本以支持HttpOnly 参数的设置,同样也支持httpOnly的设置,在php.ini

 session.cookie_htttponly=

设置为1或者true,来开启全局的cookie的httponly属性,当然也支持在代码中来开启

ini_set('cookie_httponly',1);    //或者使用  session_set_cookie_params(0,null,null,null);

Cookie 操作函数setcookie函数和setrawcookie也专门添加了第七个参数来作为httpOnly的选项,开启方法为:

setcookie('abc','test',null.null.null,null.true);

setrawcookie('abc','test',null,null,null,null,true);

 

转载于:https://www.cnblogs.com/shangfz/p/11301335.html

XJ58678
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
什么XSS攻击PHP防止XSS攻击函数
zwfcan的专栏
12-13 4084
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:alert("XSS"); 2.XSS 输入也可能是 HTML 代码段,譬如: (1).网页不停地刷新 (2).嵌入其它网站的链接
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 589
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
PHP防止xss攻击
yang_ldgd的博客
08-16 574
phpxss攻击
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
php处理xss攻击过滤.rar
01-18
PHP开发时,在网页端容易发起的xss攻击,针对于这类攻击提供一个封装的helper类方法进行内容过滤,减少受到的xss攻击。包含示例和封装方法。
PHP防范XSS攻击
IT部落格
03-03 2715
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
PHP 防止xss攻击
infinite
01-20 474
一、什么是xss攻击?   XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中...
php防止xss攻击
u013695932的博客
05-09 281
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
php 避免xss_php如何防范xss
weixin_39611037的博客
03-09 133
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。php防范xss的方法有在输出html时,加上Content Security Policy的Http Header;在设置Cookie时,加上Htt...
如何在 PHP防止 XSS
allway2的博客
07-24 2029
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
php防止xss攻击以及sql注入
zhumengstyle的博客
12-17 683
function SafeFilter (&amp;amp;$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
php面试题怎么防止xss攻击,php如何防止xss攻击
weixin_32277761的博客
03-13 165
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialc...
PHP小技巧 防XSS
struggle_xu
08-23 1150
htmlspecialchars();用这个函数编译一下表单提交时的数据可以防XSS urlencode(); 如果你在拼写url链接时传递的参数中有特殊字符,导致get时无法正确获得值,那么用这个函数编译一下url地址 使用ajax传递参数时最好用encodeURI
PHP XSS攻击防范--如何过滤用户输入
zhibin的程序日记
12-27 4909
一、什么是XSS攻击 XSS攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 来看一个简单的例子: <?php $slogan_type = isset($_GET['slogan_type']) ? $_GET['slogan_type'] : 'default'; ?>
php写一个防止xss攻击
最新发布
05-19
PHP 中,可以通过使用 htmlspecialchars() 函数来防止 XSS 攻击。该函数将特殊字符转换为 HTML 实体,从而使其无法被浏览器识别为代码。以下是一个示例: ```php // 获取用户输入 $input = $_POST['input']; //...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值