当前位置:首页 > 日记 > 正文

整理PHP防注入和XSS攻击一般滤波

整理PHP防注入和XSS攻击一般滤波
有许多网站推出的XSS攻击,一些内置的过滤功能只使用PHP是无法处理的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,对这些功能的使用strip_tags将不能保证绝对安全。
因此如何防止XSS注入呢它仍然需要在用户的数据过滤中考虑周到,这不是下一个提示的完整总结。

1。假设所有用户输入数据都是邪恶的。

2。弱类型脚本语言必须保证类型和期望的一致性。

三.正则正则表达式

功能如4。strip_tags和htmlspecialchars是很好用的

5。外部Javascript不一定可靠。

6。领导过滤器必须注意

7。删除不必要的HTML注释

8。请你让我在探索…

方法1,使用PHP htmlentities函数
例子
防止非法的HTML代码的XSS攻击PHP XSS方法:包括单、双引号,使用htmlspecialchars()函数。

当你用htmlspecialchars()函数,通知二参数。如果你用htmlspecialchars($字符串),第二个参数是ent_compat默认。默认函数是转换双引号(),而不是为了逃避单引号()。
因此,需要更多的二参数的htmlspecialchars函数。它应该是这样使用的:htmlspecialchars($字符串,ent_quotes)。当然,如果你不需要变换引号,使用htmlspecialchars($字符串,ent_noquotes)。

此外,减少在所有英语当htmlentities htmlentities和htmlspecialchars无差异的使用,可以达到目的。然而,中国的情况下,htmlentities将所有的HTML代码,连同里面不能识别的汉字转换。

这两个功能如htmlentities和htmlspecialchars不足以支持字符串一样,所以他们不能转化。因此,字符串通过htmlentities和htmlspecialchars转化只能防止XSS攻击和防止SQL注入攻击。

所有打印的报表,如回声、打印等,需要通过htmlentities()打印之前,防止XSS。值得注意的是,中国应该写htmlentities($name,ent_noquotes,GB2312)。

方法二,没有表示我们给出函数

例子
功能xss_clean($数据){
固定实体;
$data = str_replace(array(','),数组('amp;,这里;','gt;'),为数据);
(($数据= preg_replace / / W # * + / /设备X20 } +){;/你的1美元,美元;数据);
($data = preg_replace /(#××{ 0-9a-f } +);* /单位、1美元,美元;数据);
数据html_entity_decode美元(美元的数据,ent_compat,'utf-8);
删除任何属性开始与/或xmlns
$data = preg_replace(' #(} + { 设备- X20 })({ } * ^ > > # IU:在| xmlns),1美元的美元>>,数据);
Javascript和VBscript的协议: / /删除:
数据preg_replace(' #美元=({ A-Z } *){ 设备- X20 } = { 设备- X20 }×(`一} *){ 设备- X20 } * j { 设备- X20 } *一个{ 设备- X20 }×V { 设备- X20 } * { 设备- X20 }的{ 设备- X20 }×C { 设备- X20 }×R { 设备- X20 }我{ 设备- X20 }×p { 设备- X20 } * T设备,# IU,X20 } *,1美元= 2nojavascript美元,美元数据)..;
数据preg_replace(' #美元=({ } } { X20 A-Z *)* =({ X00 - } *){ 设备- X20 }×V { 设备- X20 }×B { 设备- X20 } * S { 设备- X20 }×C { 设备- X20 }×R { 设备- X20 }我{ 设备- X20 }×p { 设备- X20 } * T { 设备- X20 }:# IU,1美元= 2novbscript美元美元,数据…);
数据preg_replace(' #美元=({ } } { X20 A-Z *)* =({ X00 - } *){ 设备- X20 }×-moz-binding { 设备- X20 }:# U ',' 1美元= 2nomozbinding美元,美元数据…);
在伊江的工作:
数据preg_replace(' #美元=(} +)风格{ 设备- X20 } = { 设备- X20 } * { ` 设备- X20 } * } *。*表达式{({ ^ > } * + > #我',' 1美元>,$data);
数据preg_replace(' #美元=(} +)风格{ 设备- X20 } = { 设备- X20 } * { ` 设备- X20 } * } *。*行为{({ ^ > } * + > #我',' 1美元>,$data);
数据preg_replace(' #美元=(} +)风格{ 设备- X20 } = { 设备- X20 } * { ` } *。* { X00 - X20 }×C { 设备 X20 }×R { 设备- X20 }我{ 设备- X20 }×p { 设备- X20 } * T { 设备- X20 } *:* { ^ > } * > # IU ',' 1美元>的数据,美元);
名称空间的元素 / /删除(我们不需要它)
$data = preg_replace(' # } * > #我',' ',为数据);
尽可能删除不需要的标签
old_data美元= $数据;
$data = preg_replace(' # } * > #我',' ',为数据);
},($ old_data!= $数据);
完成了/我们…
返回$数据;
}

方法三:
< PHP
/ / PHP防注入和XSS攻击一般滤波。
用QQ:831937
_get safefilter美元(美元_get);
_post safefilter美元(美元_post);
_cookie safefilter美元(美元_cookie);

功能safefilter($ ARR)
{

($ra=Array / ({x00-x08, x0b-x0c, x0e-x19})'/script/','/javascript/','/vbscript/'','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/base/','/onload/' / bgsound/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/'.'/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmouseout/','/onmouseover/'/ onmousemove/','/onmouseup/','/onunload/');

如果(is_array($ ARR))
{
foreach(ARR美元美元美元的价值关键=)
{
如果(!is_array(美元值))
{
如果(get_magic_quotes_gpc)(!) / /不magic_quotes_gpc addslashes()的特点,以避免双逃逸。
{
价值= addslashes(美元值); / /单引号(')、双引号(),反斜杠()、空(null字符)和反斜杠
}
价值= preg_replace(元岭,美元的价值); / /删除非打印字符,粗过滤XSS可疑的字符串
ARR { } =美元美元关键htmlentities(strip_tags(美元值)); / /的HTML和PHP标记去除并转换为HTML实体
}
其他的
{
safefilter($ ARR { $关键});
}
}
}
}
>

相关文章

如何制作十字绣效果图PPT制作课程

如何制作十字绣效果图PPT制作课程

效果图,十字绣,课程,电脑软件,PPT,咸莱武世绣十字绣成品框,他挂在墙上,还有成就感有!但实际上,用十字绣不是件简单的事,但需要极大的勇气和耐心!但我们会偷偷懒,影响十字绣设计绘画萧边今天教你PPT自己看中的直接使用。 1、切换到插入选项卡,在图像…

PS图象处理软件设计和制造黑科技的

PS图象处理软件设计和制造黑科技的

黑科技,图象处理,软件设计,按钮图标,电脑软件,在做一个按钮之前,我们需要彻底分析这个结构,然后我们从底部的工具开始,用形状工具画出想要的图形。通过合并或减去多个形状可以得到更为复杂的形状。然后我们可以添加图层样式的颜色和纹理。 在…

PS滑稽地看了馆长的头,或修改了馆长

PS滑稽地看了馆长的头,或修改了馆长

修改,馆长,看了,滑稽,表情,网上到处都有黄金馆长的表情,表达爱意收藏不是你想让自己看起来像基姆先生,下面的小修改为黄金馆长表情文字,介绍PS的方法,制作滑稽的黄金策展人表达或非常简单,有兴趣的朋友可以参考本文。 基姆馆长的表情近年来在各…

Excel的基础是什么

Excel的基础是什么

基础,电脑软件,Excel,你认为Excel只是一种工具吗也许我会把Excel作为我生活的一部分,因为我没有Excel表格就不能工作。也许你是一个优秀的球员,寻找你自己还没有掌握的技能。也许你只是一个刚入门的初学者。我想知道更多关于表的知识,早日进入…

在QQ空间操作中,为什么会出现验证码

在QQ空间操作中,为什么会出现验证码

验证码,空间,操作,常见问题,电脑软件,验证码是确保用户使用安全,防止恶意黑客对您的帐户的操作设置,系统会根据你的QQ号码,如果QQ号码检测在不同的地方,很多时候,会有一种异常情况,及密码信息就会提示。同时,如果一个QQ号码经常发送大量邮件或在短…

PS合成恐怖城堡下的夜晚

PS合成恐怖城堡下的夜晚

城堡,夜晚,恐怖,电脑软件,PS,今天,小编辑教你如何用PS合成一个可怕的城堡。这个教程有点复杂,但是效果很好,有兴趣的朋友可以一起看看。 效果图实际上是夜间效果,但所用的材料都是白天拍摄的。当我们合成时,我们需要对材料着色,使用曲线等来加深…

如何实现交错excel2010教程在Excel

如何实现交错excel2010教程在Excel

教程,如何实现,电脑软件,microsoftexcel2010可以帮你做出分析,更好、更明智的决策管理和信息共享比以往更多。新的分析和可视化工具,帮助你跟踪和突出显示重要的数据趋势。你可以从几乎所有的Web浏览器或智能手机移动办公访问您的重要数据。 …

ps打造酷炫激光剑效果

ps打造酷炫激光剑效果

激光,酷炫,效果,电脑软件,ps,本教程是激光剑效果的方法,给朋友PS制作酷,激光剑做的教程很漂亮,也不是很难,推荐给朋友,爱一看。 在电影《星球大战》中最突出的是剑,类似于激光;激光剑的效果经常出现在下面的中国各种武侠电影中,在这种情况下使用ps…

通过检查PS提高操作效率的未知因素

通过检查PS提高操作效率的未知因素

操作,检查,效率,因素,电脑软件,本文将分享一些未知的PS为大家提高运作效率,这是从事诗不仅工人一大福音能更快的提高工作效率,但它也可以使你的生活easier.ok,让我们一起看看它。 在这里和大家分享那些通过PS提高运作效率未知,虽然有些技能更精…

手拉手教你如何把黑发美女变成时尚

手拉手教你如何把黑发美女变成时尚

手拉手,黑发,教你如何,金发女郎,美女,用PS,你不需要染发。 1。首先,打开原始图,然后打开PS图象处理软件选择功能表/选择/色彩范围,并选择头发的部分。 2,按下后,选择工具箱套索工具,按Alt键删除剩余范围。 三.打开图层面板,添加一个曲线调整图层。…

PS图象处理软件V美丽的彩色光线湖

PS图象处理软件V美丽的彩色光线湖

图象,光线,处理软件,婚礼,彩色,萧边今天教你使用PS图象处理软件带来了美丽的辉光颜色湖婚礼美女图片教程是非常美丽的,不太复杂,喜欢的朋友可以一起学习 在效果图处理过程中,有两个难点:一是改变天空、天空以取代部分光物质,然后渲染高光;然后将…

ai在印刷彩色套印,透明叠印,陷阱术语

ai在印刷彩色套印,透明叠印,陷阱术语

叠印,术语,透明,套印,陷阱,本教程是介绍ai的朋友作品,在印刷色彩叠印,透明叠印,陷阱解读方法,很好的教程,推荐给朋友们一起学习。 本文介绍了在彩色立体套印、透明叠印、陷阱等方面的插画作品,让我们一起来看看。 1纯色套印 当上下图形图形重…