XSS,sql注入入参安全校验

最新推荐文章于 2024-03-11 17:21:38 发布
最新推荐文章于 2024-03-11 17:21:38 发布
阅读量1k 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z457181562/article/details/82458010
版权

案例1:跨站运行脚本(XSS)

<html>

<form>

<input name="foo" value=' <?php {$_GET['foo']} ?>' >

</form>

</html>

alert('foo')

11005865-f48f8648e2b6d1b0.png

请求参数输入上面内容

11005865-91181478eda1d4df.png

执行上面会出现

上面输入只是简单案例,按照这个思路那么我们可以在里面执行任何JavaScript代码

解决方法:

使用strip_tags()从字符串中去除 HTML 和 PHP 标记或者使用htmlentities()

 

11005865-9783ef67ca89d2bb.png

 

11005865-d4f617de4c44b460.png

案例2:sql注入

select * from  user_info   from   users  where user='$user'  and   pwd='$pwd';

对于上面的sql我们可以输入

http://xxxxx?user=admin'#

解决方法:

对输入进行addslashes()进行转义处理

使用pdo的预处理语句

 

案例3:校验请求参数是不是被篡改

解决方式:

1.md5校验

大概思路就是将请求参数按照相互约定的顺序(一般是字母顺序)进行拼接,然后MD5,服务端收到请求之后也用同样的规则得到一个MD5值,相互比对两者.相同则代表没有被修改,不同则说明被修改过

11005865-e9fc1ad71c3a3474.png

2.进阶校验(HMAC 鉴定信息的关键字散列)

可以使用HMAC,他使用一个加密的键值对明文进行双重散列处理

hash_hmac('md5', $data, $key)

algo 要使用的哈希算法名称,例如:"md5","sha256","haval160,4" 等。

data 要进行哈希运算的消息。

key 使用 HMAC 生成信息摘要时所使用的密钥。

过滤函数

filter_var—使用特定的过滤器过滤一个变量,各种变量校验

filter_var('127.0.0.1',FILTER_VALIDATE_IP)   //ip

filter_var('127.0.0.1',FILTER_VALIDATE_EMAIL)  //邮箱

 

同时记录下几个工具,在packagist可以找到

aura/filter

respect/validation

symfony/validator

PHP: filter_var - Manual

zhyingke
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
brutexss一款快速验证存在xss漏洞
05-07
brutexss安全工程师快速验证页面是否存在brutexss漏洞,使用简单方便,字典强大,自带xss漏洞验证语法,一条指令就可以验证xss漏洞是否存在以及注入方式
php判断post是否xss,PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】...
weixin_30767895的博客
03-10 232
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家考,具体如下:防XSS攻击代码:/*** 安全过滤函数** @param $string* @return string*/function safe_replace($string) {$string = str_replace('%20','',$string);$string = str_replace('%27','',...
php验证sql注入,PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
weixin_32909875的博客
04-05 235
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家考,具体如下:防XSS攻击代码:PHP;">/*** 安全过滤函数** @param $string* @return string*/function safe_replace($string) {$string = str_replace('%20','',$string);$string = str_replace(...
Respect\Validation:一个强大的PHP验证库
最新发布
gitblog_00002的博客
03-11 320
Respect\Validation:一个强大的PHP验证库 Respect\Validation 是一个轻量级但功能强大的 PHP 验证库,可以帮助您在开发过程中快速实现各种数据验证需求。 项目简介 Respect\Validation 是一个易于使用的 PHP 验证框架,提供了一系列预定义的验证规则,可以轻松地应用于您的应用程序中的任何输数据。它还包括一套内置的错误消息模板,使得验证失败时向...
Springboot配置XSS攻击&Sql注入(完整版)
Zhangmaoyang的博客
07-05 6310
Springboot配置防XSS攻击&Sql注入(含Post请求、跳过文件上传、跳过自定义路径)
web安全性测试用例(输、输出、SQL注入、跨站请求伪造(CSRF)、跨站脚本攻击(XSS))实实在在的干货
HemingwayM的博客
03-06 4166
https://www.cnblogs.com/qmfsun/p/3724406.html 建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误. 1.输验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输很大的数(如4,294,967,269),输很小的数(负数) 2.输超长字符,如对输文字长度有限制,则尝试超过限制...
html 转义js
gergerman的专栏
11-06 1377
function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, ">"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); s = s.replace(/
转:xss注入方法及验证方法
qq284489030的博客
09-06 9158
注:本文描述的是一般情况的xss注入方法及验证方法,并无覆盖所有xss情况,   步骤1:在任一输框中输以下注入字符 &gt;"'&gt;&lt;script&gt;alert(XSS)&lt;/script&gt; &gt;"'&gt;&lt;img src="javascript:alert(123456)"&gt; 1234&lt;%00script&g
XSS漏洞-01】XSS漏洞原理和危害及验证与分类
cc
02-10 7819
反射型XSS不与数据库进行交互,直接由前端进行反馈;存储型XSS会将恶意代码写进服务器的数据库中;反射型和存储型xss都先将数据发送到了服务器,再从服务器读取数据显示到页面中,burp能抓取到数据;DOM型XSS主要是在浏览器本地修改DOM树而执行,并不会经过服务器,所以burp抓取不到包。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取数的方法进行重写,对数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
【Vue】数据校验插件开发实例
看花容易绣花难
10-28 511
数据校验插件开发实例
XSS 跨站测试代码大全2
LIVE
11-07 1250
0x01 XSS介绍 1. XSS分类 (1) 反射型XSS、 (2)存储型XSS、 (3)Dom型XSS、 (4) 通用型XSS、(全称Universal Cross-Site Scripting,翻译过来就是通用型XSS 简称UXSS) (5) 突变型XSS ( 介绍: mXS()突变 XSS) 是当不可信数据在 DOM 的 innerHTML 属性的上下文被处理并通过浏览器发生突变,...
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
防止xsssql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”) //格式 RegExp(“[在中间定义特殊过滤字符]”)...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
12-18
XSS攻击代码: /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(' ','',$string); $string = str_replace(''','',$string); $...
安全开发规范手册.docx
08-05
2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 数化处理 7 2.3.3. 最小化授权 7 2.3.4. ...
xss,csrf,sql注入
07-28
综上所述,为了防止XSS、CSRF和SQL注入攻击,需要对用户输的数据进行校验和过滤,使用安全的编程框架和技术,限制权限,加密重要信息等措施。 #### 引用[.reference_title] - *1* *3* [详解XSS攻击、SQL注入攻击、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值