使用KSES安全过滤输入数据

最新推荐文章于 2025-08-10 18:03:31 发布
转载 最新推荐文章于 2025-08-10 18:03:31 发布 · 731 阅读 · 0
文章标签:

#border #string #button #action #table #工具

在PHP中安全的第一原则就是永远不要相信任何外部数据!如何有效的做到这点是每个开发人员的难点之一。没有使用webeditor之前,这个基本上比较好处理。
    但如果使用了webeditor,如何保证用户的数据,同时又做到安全(比如说防止XSS漏洞),的确是个头疼的问题。
    这里我推荐一个开源的工具——KSES。KESS只允许用户输入的数据格式和属性。

    比如说你只允许输入说含有
<a href="">
那么
<a href=" " title="">
中的title就会过滤掉。

    KSES在WP和Gregarius中都有用到,是一个非常好用的东西。使用也很简单,不过惟一不好的,就是没有用类来封装,可能这也有作者自己的原因吧。

    使用例子:

<?
$kses_allowed = array ('address' => array (), 'a' => array ('href' => array (), 'title' => array (), 'rel' => array (), 'rev' => array (), 'name' => array ()), 'abbr' => array ('title' => array ()), 'acronym' => array ('title' => array ()), 'b' => array (), 'big' => array (), 'blockquote' => array ('cite' => array ()), 'br' => array (), 'button' => array ('disabled' => array (), 'name' => array (), 'type' => array (), 'value' => array ()), 'caption' => array ('align' => array ()), 'code' => array (), 'col' => array ('align' => array (), 'char' => array (), 'charoff' => array (), 'span' => array (), 'valign' => array (), 'width' => array ()), 'del' => array ('datetime' => array ()), 'dd' => array (), 'div' => array ('align' => array ()), 'dl' => array (), 'dt' => array (), 'em' => array (), 'fieldset' => array (), 'font' => array ('color' => array (), 'face' => array (), 'size' => array ()), 'form' => array ('action' => array (), 'accept' => array (), 'accept-charset' => array (), 'enctype' => array (), 'method' => array (), 'name' => array (), 'target' => array ()), 'h1' => array ('align' => array ()), 'h2' => array ('align' => array ()), 'h3' => array ('align' => array ()), 'h4' => array ('align' => array ()), 'h5' => array ('align' => array ()), 'h6' => array ('align' => array ()), 'hr' => array ('align' => array (), 'noshade' => array (), 'size' => array (), 'width' => array ()), 'i' => array (), 'img' => array ('alt' => array (), 'align' => array (), 'border' => array (), 'height' => array (), 'hspace' => array (), 'longdesc' => array (), 'vspace' => array (), 'src' => array (), 'width' => array ()), 'ins' => array ('datetime' => array (), 'cite' => array ()), 'kbd' => array (), 'label' => array ('for' => array ()), 'legend' => array ('align' => array ()), 'li' => array (), 'p' => array ('align' => array ()), 'pre' => array ('width' => array ()), 'q' => array ('cite' => array ()), 's' => array (), 'strike' => array (), 'strong' => array (), 'sub' => array (), 'sup' => array (), 'table' => array ('align' => array (), 'bgcolor' => array (), 'border' => array (), 'cellpadding' => array (), 'cellspacing' => array (), 'rules' => array (), 'summary' => array (), 'width' => array ()), 'tbody' => array ('align' => array (), 'char' => array (), 'charoff' => array (), 'valign' => array ()), 'td' => array ('abbr' => array (), 'align' => array (), 'axis' => array (), 'bgcolor' => array (), 'char' => array (), 'charoff' => array (), 'colspan' => array (), 'headers' => array (), 'height' => array (), 'nowrap' => array (), 'rowspan' => array (), 'scope' => array (), 'valign' => array (), 'width' => array ()), 'textarea' => array ('cols' => array (), 'rows' => array (), 'disabled' => array (), 'name' => array (), 'readonly' => array ()), 'tfoot' => array ('align' => array (), 'char' => array (), 'charoff' => array (), 'valign' => array ()), 'th' => array ('abbr' => array (), 'align' => array (), 'axis' => array (), 'bgcolor' => array (), 'char' => array (), 'charoff' => array (), 'colspan' => array (), 'headers' => array (), 'height' => array (), 'nowrap' => array (), 'rowspan' => array (), 'scope' => array (), 'valign' => array (), 'width' => array ()), 'thead' => array ('align' => array (), 'char' => array (), 'charoff' => array (), 'valign' => array ()), 'title' => array (), 'tr' => array ('align' => array (), 'bgcolor' => array (), 'char' => array (), 'charoff' => array (), 'valign' => array ()), 'tt' => array (), 'u' => array (), 'ul' => array (), 'ol' => array (), 'var' => array () );
    $string=kses($string$kses_allowed);
?>
CVE-2024-32709 WordPress —— Recall 插件存在 SQL 注入漏洞
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-17 909
WordPress是一款免费开源的内容管理系统,适用于各类网站,包括个人博客、电子商务系统、企业网站。其插件 WP-Recall 的 account 存在 SQL 注入漏洞,攻击者可以通过该漏洞获取数据库敏感信息。WP-Recall 版本
Kses PHP HTML 过滤
crazychen的专栏
07-15 1670
根据HTML标签,属性来进行过滤的类,用于安全处理用户的富文本 在用户前台应用了富文本编辑器,这就使得HTML输出时面临XSS等危险代码的风险。为了解决这个问题,互联网上有很多正则替换的方法,但是都不是很保险且扩展性不高。 后来我在代码仓库中找到了Kses类,这是一个可以根据HTML标签,属性来进行过滤的类,修改了一下就可以适配THINKPHP了。 Kses的版权和相关协议归原作者所有。 -
kses php,WordPress禁用自动过滤HTML标签方法
weixin_34388311的博客
03-12 182
一般出于安全考虑,WordPress默认禁止角色为作者的用户写文章时直接添加HTML代码,包括读者留言。今天分享一下WordPress禁用自动过滤HTML标签方法。可以尝试以下方法:1.打开Wordpress程序wp-includes目录的kses.php,搜索:add_action('init', 'kses_init');add_action('set_current_user', 'kses...
kses php,WordPress 常用函数 / wp_kses
weixin_33918788的博客
03-12 249
简介这个函数确保只有被允许的 HTML 标签和属性名,属性值,以及一些正确的 HTML 实体出现在 $string 中,在调用这个函数之前,需要先移除 PHP magic quotes 生成的 / 。用法参数$string(string) (required) 将通过 kses 过滤的内容Default: None$allowed_html(array) (required) 允许的 HTML 标...
K8S 日常故障处理
热门推荐
建伟博客
01-28 2万+
K8S 日常故障处理
wordpress自动过滤html标签,禁用WordPress自动过滤HTML标签
weixin_31800911的博客
06-01 473
摘要出于安全考虑Wordpress默认禁止角色为作者的用户写文章时直接添加HTML代码,包括读者留言时也是不允许的。如果想开放此限制,允许作者撰写文章和读者留言时添加HTML代码,比如插入视频站点提供的视频HTML代码等,可以尝试以下方法:方法一、打开Wordpress程序wp-includes目录的kses.php…出于安全考虑Wordpress默认禁止角色为作者的用户写文章时直接添加HTML代...
wordpress安全_使用内置WordPress功能编码安全主题
culi3118的博客
08-22 335
wordpress安全This article is part of a series created in partnership with SiteGround. Thank you for supporting the partners who make SitePoint possible. 本文是与SiteGround合作创建的系列文章的一部分。 感谢您支持使SitePoint成为可...
探究 WordPress `wp_strip_all_tags()` 函数的源码:如何安全地移除 HTML 和 PHP 标签。
weixin_41455464的博客
08-10 309
恶意用户可能会注入一些HTML甚至PHP代码,如果直接把这些未经处理的数据显示在页面上,那可就惨了,轻则页面错乱,重则被XSS攻击搞得鸡犬不宁。是WordPress中一个非常有用的安全函数,它可以快速有效地移除HTML和PHP标签,防止XSS攻击。的用法,咱们来一个实际的例子。它的主要作用就是把字符串里的HTML和PHP标签统统干掉,让数据变得“干净”安全。比如,它默认情况下会保留HTML注释,而且对于一些非标准的HTML标签处理得不够彻底。对处理后的评论进行转义,确保在页面上显示的内容是安全的。
wordpress使用
qq_41737353的博客
03-30 2292
wordpress新建自定义页面 新建自定义页面的php文件,文件放在themes/主题名/templates/下,文件头部加段注释,标识模板名称 1.2.新建页面 1.3.选择模板, wordpress引用jQuery 在themes/主题名/下找到header.php,加入以下代码,即可使用jQuery. wordpress调用自定义js,css文件 get_template_directory_uri():指向当前的主题文件夹 示例:http://localhost/m..
wordpress主题开发框架(灵狐框架),开发文档使用教程
熊啸锋的博客
03-25 1011
ox Framework 是一个wordpress主题选项框架,为 WordPress 主题提供了丰富的设置 UI 和 API 支持。开发者可以利用该框架轻松实现主题设置管理、自定义器集成、元框支持、自定义小工具、菜单管理自定义字段以及 REST API 等功能。
kses:PHP实现的HTML/XHTML安全过滤
通过使用kses过滤器,开发者可以大大降低XSS攻击的风险。 ### kses与现代PHP框架 在现代的PHP框架中,如Laravel、Symfony等,都内置了防止XSS攻击的机制。这些框架通常会集成类似kses的库或提供了相似功能的组件...
kses - PHP HTML/XHTML filter-开源
04-19
kses是一款基于PHP的HTML/XHTML过滤器,它的主要目的是为了帮助开发者在处理用户提交的HTML内容时,确保数据安全性,防止跨站脚本(Cross-Site Scripting, XSS)攻击的发生。XSS攻击是一种常见的网络安全问题,...
WordPress插件开发
03-23
- **过滤器钩子(Filter Hooks)**:使用`add_filter()`修改数据: ```php add_filter('the_content', 'my_plugin_content_filter'); ``` 2. **安全性规范** - 输入验证:使用`sanitize_text_field()`处理...
开发界面语义化:声控 + 画图协同生成代码.doc
08-10
开发界面语义化:声控 + 画图协同生成代码.doc
LABVIEW与三菱PLC通信:实现数据批量读写的高效库解决方案
08-10
如何通过LabVIEW与三菱PLC建立高效的通信桥梁,实现数据批量读写。首先概述了LabVIEW和三菱PLC的基本概念及其在工业自动化中的重要性。接着重点讲解了利用Modbus RTU协议构建通信连接的具体步骤和技术细节,包括初始化通信、发送读写请求、处理响应数据和关闭连接等功能。文中还提供了一个简化的代码示例,展示了如何在LabVIEW环境中实现这一过程。最后对这项技术进行了总结和展望,强调其在提高数据交互效率方面的潜力以及未来的广泛应用前景。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些熟悉LabVIEW或三菱PLC的人士。 使用场景及目标:适用于需要频繁进行数据交互的工业控制系统,如生产线监控、设备状态监测等场合。主要目的是提升数据传输的速度和可靠性,从而优化整个系统的运行效率。 阅读建议:读者可以通过本文深入了解LabVIEW与三菱PLC通信的实现方法,掌握批量数据读写库的设计思路,并将其应用于实际工程项目中。建议边阅读边尝试动手实践相关代码,以便更好地理解和吸收所学知识。
欧姆龙PLC NJ系列模切机程序:高级伺服运动与张力控制的应用实例
08-10
欧姆龙PLC NJ系列模切机项目的编程细节及其关键技术。主要内容涵盖12轴EtherCAT总线伺服运动控制,包括回零、点动、定位和速度控制;张力控制采用PID算法并进行收放卷径计算;隔膜自动纠偏控制利用模拟量数据平均化处理;同步运动控制实现凸轮表追剪和裁切;以及结构化编程和ST语言功能块的使用。项目结构规范,注释详尽,有助于理解和维护代码。通过本项目的学习,可以掌握PLC高端复杂应用的实际操作技能。 适合人群:从事工业自动化领域的工程师和技术人员,特别是对PLC编程和伺服运动控制有浓厚兴趣的人群。 使用场景及目标:适用于需要深入了解PLC编程技巧和自动化控制系统原理的技术人员。目标是提升编程能力和对复杂自动化系统的工作机制的理解。 其他说明:本文不仅提供具体的编程指导,还强调了项目管理和代码规范的重要性,为读者提供了全面的学习体验。
大班主题性区域活动计划表.doc
最新发布
08-10
大班主题性区域活动计划表.doc
高校教研室工作计划.doc
08-10
高校教研室工作计划.doc
发那科机器人C#二次开发详解:数据读写与点位信息获取助力MES系统建设
08-10
如何利用C#语言对发那科机器人进行二次开发,重点讲解了数据读写和点位信息获取的方法及其在MES系统中的应用。文章首先阐述了C#与发那科机器人通信的实现步骤,包括引用SDK库文件和编写连接/断开代码。接着,探讨了机器人点位数据的读取与分析,展示了如何获取并处理机器人当前位置、姿态、速度等信息。最后,讨论了这些数据在MES系统中的具体应用,如生产过程监控、质量控制和工艺优化。此外,还展望了智能制造的未来发展,提出了基于机器学习的预测性维护、自适应工艺参数优化等智能化功能的可能性。 适合人群:从事工业自动化、机器人技术和MES系统开发的专业人士,尤其是有一定C#编程基础的研发人员。 使用场景及目标:适用于希望深入了解发那科机器人二次开发流程的企业和个人开发者,旨在帮助他们掌握C#与发那科机器人通信的具体实现方法,从而更好地构建和优化MES系统,提高生产效率和管理水平。 其他说明:本文不仅提供了具体的代码示例,还对未来智能制造的发展趋势进行了展望,强调了技术创新对制造业转型升级的重要性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值