防止SQL注入和XSS跨站攻击代码

最新推荐文章于 2024-06-28 07:00:00 发布
转载 最新推荐文章于 2024-06-28 07:00:00 发布 · 2.3k 阅读 · 2

本文提供了一套实用的PHP代码,用于防止常见的网站安全威胁——SQL注入和XSS跨站脚本攻击。通过详细解析自定义函数,帮助开发者理解和实现安全的数据处理方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://blog.youkuaiyun.com/jbb0403/article/details/36626515原文


这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:

a、防止SQL注入代码:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //防止SQL注入 hxm_20140701  只对字符串有效  
  2. function clean_SQLinject($string){  
  3.     if(!get_magic_quotes_gpc()){  
  4.         $string = mysql_real_escape_string($string);  
  5.         $string = addslashes($string);  
  6.     }  
  7.     $string = str_replace("_","\_",$string);  
  8.     $string = str_replace("%","\%",$string);  
  9.     return $string;  
  10. }  

b、防止XSS跨站攻击代码:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //防止xss跨站攻击 hxm_20140701  数组或字符串都有效  
  2. function clean_xss(&$string){  
  3.     if(!is_array($string)){  
  4.         $string = trim($string);  
  5.         $string = strip_tags($string);  
  6.         $string = htmlspecialchars($string);  
  7.         $string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);  
  8.         $no = '/%0[0-8bcef]/';  
  9.         $string = preg_replace ($no''$string);  
  10.         $no = '/%1[0-9a-f]/';  
  11.         $string = preg_replace ($no''$string);  
  12.         $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';  
  13.         $string = preg_replace ($no''$string);  
  14.         return True;  
  15.     }  
  16.   
  17.     $keys = array_keys($string);  
  18.     foreach($keys as $key){  
  19.         clean_xss($string[$key]);  
  20.     }  
  21. }  

c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:

d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:

[php]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. //对传过来的整个post数组进行SQL注入和XSS过滤   hxm_20140701  
  2. function clean_post($post) {    
  3.   if(!get_magic_quotes_gpc()){    // 判断magic_quotes_gpc是否为打开    
  4.     $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤    
  5.   }    
  6.   $post = str_replace("_""\_"$post);    // 把 '_'过滤掉    
  7.   $post = str_replace("%""\%"$post);    // 把 '%'过滤掉    
  8.   $post = nl2br($post);    // 回车转换    
  9.   $post = htmlspecialchars($post);    // html标记转换 防止xss   
  10.    
  11.   return $post;    
  12. }  

备注(关于XSS):

1、PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).

4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

xss 跨站攻击代码
12-09
跨站攻击过滤代码
【2025版】最新前端必知的跨站脚本攻击XSS)示例与解决方案(非常详细),从零基础到精通,收藏这篇就够了!
Javachichi的博客
06-16 1314
O了,看破就是要说破,我是V哥,一个永远18的程序员,喜欢广交天下志同道合的朋友,喜欢分享技术经验,讲真,这会促进我的荷尔蒙分泌,所以会一直坚持下去,欢迎关注威哥爱编程,技术路上我们一起成长。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
XSS跨站攻击代码大全
愿听风成曲
06-28 749
img src=""onerror=“alert(‘xss’)”> 直接k掉script绕过。包含alert就绕过(括号一串数字是alert(xss)的ASCII值)'“>ipt> 过滤script绕过。Referer: '"> 传送头插入。过chrome默认xss过滤器。通过构造一个带xss的锚点绕过。
XSS跨站攻击注入代码整理,大全
03-03
XSS跨站攻击注入代码整理,希望大家支持
防止跨站攻击(tornado)
weixin_42694291的博客
11-12 617
为了防止XSRF,要求每一个请求必须通过一个cookie头一个隐藏表单向页面提供令牌,这样网站才认为请求有效。 开启tornado的XSRF功能有两个步骤: 1.在实例化tornado.web.Application时传入xsrf_cookies=True参数: App = tornado.web.Application([(r'/', MainHandler),],cookie_secr...
开发代码安全标准规范SQL注入XSS跨站攻击代码编写标准规范.doc
最新发布
07-09
为了防止SQL注入,开发人员在编写代码时必须遵循一套严格的规范,包括但不限于使用预处理语句(Prepared Statements),参数化查询,存储过程等技术手段。 XSS跨站脚本攻击则是通过在网页中注入恶意脚本,当其他...
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本.doc
08-04
开发代码安全规范SQL注入XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识安全编程经验,本规范提供了防止SQL注入XSS跨站...
开发代码安全规范-SQL注入XSS跨站攻击代码编写规范.doc
07-14
"开发代码安全规范-SQL注入XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...
开发代码安全规范-SQL注入XSS跨站攻击代码编写规范.pdf
07-14
【开发代码安全规范-SQL注入XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统数据的破坏。SQL注入XSS跨站脚本攻击是两种常见的网络安全威胁。 ...
开发代码安全规范-SQL注入XSS跨站攻击代码编写规范.docx
07-14
总结,开发人员在编写代码时,不仅要考虑功能实现,更要关注代码的安全性,遵循上述规范,以防止SQL注入XSS攻击。同时,持续学习跟踪最新的安全威胁,是保障代码安全的重要环节。在项目发布前进行详尽的安全测试...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
xss攻击sql注入
03-19
xss攻击sql注入
XSS攻击代码的简单演示
04-25
这个是XSS攻击代码的简单演示,利用Node搭建的
XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XSS(跨站脚本攻击) - 常用代码大全
热门推荐
CHK的博客
08-20 6万+
XSS(跨站脚本攻击) - 常用代码大全: 1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt> <svg/onload=alert(1)> <script>alert(document.cookie)</script> '><script&a
php 注入sqlxss,PHPXSS SQL注入代码
weixin_30798713的博客
03-12 210
如何实现php的安全最大化?怎样避免sql注入漏洞x使用php安全模式 服务器要做好管理,账号权限是否合理。 假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤 防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请分享伪造。tp5怎么sql注入 xss跨站脚本攻击最有效的方法是使用参数化查询就能避免sql注入了,防止跨站的话可以使用...
XSS跨站攻击
思维小刀
04-26 604
1.简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点, 进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某...
Web安全编程规范:防止SQL注入XSS攻击
"SQL注入XSS跨站攻击安全规范1" SQL注入XSS跨站攻击是两种...遵循这些规范,可以显著提高Web应用的安全性,防止SQL注入XSS攻击的发生。开发人员应当时刻牢记安全编码的重要性,以保护用户数据系统的完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值