php防止xss攻击以及sql注入

最新推荐文章于 2025-06-12 00:16:09 发布
最新推荐文章于 2025-06-12 00:16:09 发布
阅读量737 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: php总结 文章标签: xss sql注入 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhumengstyle/article/details/85052435
本文介绍了一个用于PHP的自定义安全过滤函数,该函数通过正则表达式移除潜在的XSS攻击和SQL注入风险字符串,同时对输入进行HTML实体转换,确保网页内容的安全呈现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

function SafeFilter (&$arr) 
{
   $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/applet/'
   ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'
   ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',
   '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'
   ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
   if (is_array($arr))
   {
     foreach ($arr as $key => $value) 
     {
        if (!is_array($value))
        {
          if (!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
          {
             $value  = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
          }
          $value       = preg_replace($ra,'',$value);     //删除非打印字符,粗暴式过滤xss可疑字符串
          $arr[$key]     = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
        }else{
          SafeFilter($arr[$key]);
        }
     }
   }else{
	if(!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
	  {
		 $arr  = addslashes($arr); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
		 //加上反斜线转义
	  }
	  $arr    = preg_replace($ra,'',$arr);     //删除非打印字符,粗暴式过滤xss可疑字符串
	  $arr    = htmlentities(strip_tags($arr)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
   }
}

//使用
$post_info=array(
	'aa'=>'121212<meta http-equiv="refresh" content="0;">',
	'bbb'=>'<script>alert(111)</script>'
);
SafeFilter($post_info);
print_r($post_info);
$str = 'www.testdemo.com<meta http-equiv="refresh" content="0;">';
SafeFilter ($str);
echo $str;
PHP 安全:如何防止PHP中的XSS
新华编程特战队
04-24 1437
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来防范这两种攻击。 首先,理解XSS攻击XSS...
php 避免xss_PHP防止XSS注入
weixin_30682635的博客
03-09 459
我们在做网站的时候,经常有input提交,通常前端对input中的内容不做判断,只做不为空等简单的操作。但是,有的input中会提交一些javascript或者html,会给网站造成一定的危害。为此,防止XSS注入的任务交给了后端,后端防止XSS注入函数如下:function RemoveXSS($val) {// remove all non-printable characters. CR(0...
PHP防止XSS(跨站脚本攻击)的主要方法
最新发布
深山技术宅的博客
06-12 417
PHPXSS攻击方案摘要(148字): PHP防范XSS攻击的核心措施包括:使用htmlspecialchars()或htmlentities()转义HTML输出,设置Content Security Policy(CSP)头部限制脚本来源,通过filter_var()过滤输入数据。推荐采用模板引擎自动转义,并设置HTTP-only Cookie保护敏感信息。最佳实践强调输入验证、输出转义和白名单机制,特别需警惕用户输入直接输出到HTML、JavaScript、URL或CSS的场景。同时应保持PHP及依赖
什么XSS攻击PHP防止XSS攻击函数
zwfcan的专栏
12-13 4174
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:alert("XSS"); 2.XSS 输入也可能是 HTML 代码段,譬如: (1).网页不停地刷新 (2).嵌入其它网站的链接
php 避免xss_php如何防范xss
weixin_39611037的博客
03-09 199
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。php防范xss的方法有在输出html时,加上Content Security Policy的Http Header;在设置Cookie时,加上Htt...
php如何防止xss攻击
XJ58678的博客
08-05 395
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htm...
PHP防止SQL注入攻击XSS攻击的两个简单方法
12-17
PHP开发中,防止SQL注入XSS攻击是保障网站安全的基础。除了上述方法,还应结合输入验证、输出过滤等策略,以及保持代码更新,避免使用已知有安全漏洞的库和函数。同时,定期进行安全审计和测试也是必要的,以...
Nginx中防止SQL注入攻击的相关配置介绍
01-10
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号’ , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
10-19
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入XSS(跨站脚本)攻击SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将...
Yii框架防止sql注入xss攻击与csrf攻击的方法
01-20
本文实例讲述了Yii框架防止sql注入xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip...
PHP如何防止XSS攻击
qq_37913859的博客
07-07 526
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
php面试题怎么防止xss攻击,php如何防止xss攻击
weixin_32277761的博客
03-13 220
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialc...
如何在 PHP防止 XSS
allway2的博客
07-24 2473
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
PHP 防止xss攻击
infinite
01-20 582
一、什么是xss攻击?   XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中...
如何php防止XSS攻击
热门推荐
TeachYouToBe的博客
05-24 1万+
什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或者其他脚本,当你再把这些提交的内容显示到页面上时,xss攻击就发生了。 关于xss攻击方式和场景层出不穷,以下是一些解决的方法,各位可以借鉴,如果有不准确的在下方评论,忘各位大神Coder不吝
php防止xss攻击
u013695932的博客
05-09 351
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
PHP防止xss攻击
yang_ldgd的博客
08-16 682
phpxss攻击
PHP开发安全实践:防止XSSSQL注入
开发者应使用PHP对所有接收到的数据进行验证,防范XSS(跨站脚本攻击)和SQL注入XSS攻击可能导致用户浏览器执行恶意脚本,而SQL注入则可能导致数据泄露或数据库被操纵。可以通过参数化查询、预编译语句和使用过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值