php 过滤存储型XSS攻击

最新推荐文章于 2025-06-26 11:45:09 发布
原创 最新推荐文章于 2025-06-26 11:45:09 发布 · 4.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>
也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的

后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法
//过滤存储型XSS攻击
  

//过滤存储型XSS攻击
public function safe_filter(&$string) 
{
    $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
        $data=str_replace(array('&','<','>'),array('&amp;','&lt;','&gt;'),$data);   
    if (!get_magic_quotes_gpc())             //不对magic_quotes_gpc转义过的字符使用    addsla
最低0.47元/天 解锁文章

200万优质内容无限畅学
DVWA系列(四)——使用Burpsuite进行存储XSS存储跨站脚本攻击
橘子女侠
05-05 2770
存储XSS 长期存储于服务器端; 每次用户访问都会执行脚本代码; 1. 存储XSS攻击图示 (1)获取被攻击者的cookie; 黑客首先向服务器发送js脚本; 服务器返回含有js脚本的页面;并将该页面存储在服务器上; 当被攻击方访问服务器时,服务器返回存储的js页面; 黑客接收到被攻击方的cookie; (2) 重定向到第三方网站; 黑客首先...
ourphp 站内信存储xss漏洞1
08-04
OurPHP存储XSS漏洞详解 OurPHP是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。OurPHP 1.7.1版本存在存储XSS漏洞,可获取任意用户cookie。本文将对该漏洞进行详细分析。 漏洞简介 ...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击PHP函数吧,很实用
php xss过滤
weixin_34082789的博客
06-19 162
XSS已知CSS (Cross Site Script) ,跨站点脚本攻击。它指的是恶意攻击者Web插入恶意网页html代码,当用户浏览网页。其中嵌入Web里面html代码运行,从而实现了一些人的攻击的目的。 例如,在那里get收到链接回加盟?id=19"&gt;&lt;div+style%3Dwidth%3Aexpression(alert(42873))&gt; 会导致页面错乱...
PHP开发900个实用技巧】342.XSS攻击免疫:PHP输出过滤的多层次防御体系
最新发布
06-26 785
PHP安全防护四重奏:全面抵御XSS攻击的实战指南 本文系统讲解PHP防御XSS攻击的四层防护体系: 输入防护:采用白名单验证和类强制转换,从源头拦截危险输入 存储处理:区分原始数据和展示数据,实施"输入过滤存储原始、输出转义"策略 智能输出:根据HTML、JS等不同场景选用针对性转义方法 HTTP加固:配置CSP等安全响应头,建立浏览器端最后防线 每层防御都配有典错误案例和正确代码示例,如动态nonce的CSP实现、场景化转义函数等。通过构建这四层递进式防护,可有效提升Web应用
PHP过滤XSS攻击
帝都搬砖客
08-17 411
过滤提交数据包含XSS攻击
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 320
【代码】PHP 过滤XSS攻击
ourphp存储xss漏洞1
08-03
OurPHP存储XSS漏洞详解 OurPHP是一个由哈尔滨伟成科技有限公司开发的PHP内容管理系统,主要用于构建网站。在OurPHP 1.7.3版本中发现了一个存储跨站脚本(XSS)漏洞,这给系统的安全性带来了严重威胁。存储XSS...
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
PHP Remove _xss XSS过滤函数
10-14
PHP Remove _xss XSS过滤函数 一个比较严格的XSS过滤
php防注入和XSS攻击通用过滤
prefertea的博客
10-15 890
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
php过滤xss,分享php过滤XSS攻击的函数
weixin_42509931的博客
03-11 495
分享php过滤XSS攻击的函数php过滤XSS攻击的函数是什么呢?以下是小编分享php过滤XSS攻击的函数,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!以下函数:过滤用户的`输入,保证输入是XSS安全的。例子:复制代码 代码示例:/*** 过滤XSS攻击* edit: www.jbxue.com*/function RemoveXSS($val) {// re...
XSS过滤函数 PHP
kaosini的专栏
06-08 2531
转载地址: http://bbs.php100.com/read-htm-tid-41980.html http://www.neatstudio.com/show-378-1.shtml http://qa.taobao.com/?p=12129 http://chaoyueziwo21.blogbus.com/logs/20491494.html 第一个是老外写的
php安全 xss,php实现XSS安全过滤的方法
weixin_39662594的博客
03-13 387
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as...
xss php 转义_php 过滤存储XSS攻击
weixin_35762215的博客
03-09 200
最近做的项目被测试测出了存在存储XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的;后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法//过滤存储XSS攻击//过滤存储XSS攻击public function safe_filter(&...
php过滤xss,sql注入
02-22 1104
php过滤注入和xss攻击等写代码有时候不能面面俱到,不注意就会留下bug,此时安全过滤文件能抵挡大部分程序员的疏忽,git代码,欢迎相互关注,相互学习<?php //本人github地址 https://github.com/gnpok $url_arr = array( 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|lo
虚拟机存储xss攻击实验
03-12
好的,我现在需要帮用户设置和测试存储XSS攻击的实验环境。根据用户提供的引用内容,特别是引用[1]和[5],DVWA和phpStudy是关键组件。用户可能对虚拟机环境搭建不太熟悉,所以我需要详细说明步骤,同时确保他们能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值