软件开发培训班 >> 编程开发 >> PHP

整理php防注入和XSS攻击通用过滤

　　本文标签：php,防注入,XSS攻击

对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入？主要还是需要在用户数据过滤方面得考虑周全，在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引号过滤必须要重点注意
7. 除去不必要的 HTML 注释
8. Exploer 求你放过我吧……

富士胶片推出LTO Ultrium 9数字磁带，最大可存储45TB数据	笔记本电脑到底需不需要OLED屏？
华为手机自带的投屏功能那么强大，如果你没用过，太浪费了	五一出行富士机身与镜头应该如何搭配

方法一，利用php htmlentities函数

例子

php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码，连同里面的它无法识别的中文字符也给转化了。
htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

所有有打印的语句如echo，print等在打印前都要使用htmlentities() 进行过滤，这样可以防止Xss，注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

半价矿卡到底香不香？为了给大家排雷我买了	游戏摄影师靠“截图”年入600万，这是什么职业？
壮丽风格之旅富士GFX50S II中画幅下的北疆风光	iOS 13这个功能会大大降低你的电池老化，快来看

方法二，什么也不多说我们给一个函数

例子

function xss_clean($data){
 // Fix &entity＼n;
 $data=str_replace(array(&,<,>),array(&amp;,&lt;,&gt;),$data);
 $data=preg_replace(/(&#*＼w+)[＼x00-＼x20]+;/u,$1;,$data);
 $data=preg_replace(/(&#x*[0-9A-F]+);*/iu,$1;,$data);
 $data=html_entity_decode($data,ENT_COMPAT,UTF-8);
 // Remove any attribute starting with "on" or xmlns
 $data=preg_replace(#(<[^>]+?[＼x00-＼x20"＼])(?:on|xmlns)[^>]*+>#iu,$1>,$data);
 // Remove javascript: and vbscript: protocols
 $data=preg_replace(#([a-z]*)[＼x00-＼x20]*=[＼x00-＼x20]*([`＼"]*)[＼x00-＼x20]*j[＼x00-＼x20]*a[＼x00-＼x20]*v[＼x00-＼x20]*a[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu,$1=$2nojavascript...,$data);
 $data=preg_replace(#([a-z]*)[＼x00-＼x20]*=([＼"]*)[＼x00-＼x20]*v[＼x00-＼x20]*b[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu,$1=$2novbscript...,$data);
 $data=preg_replace(#([a-z]*)[＼x00-＼x20]*=([＼"]*)[＼x00-＼x20]*-moz-binding[＼x00-＼x20]*:#u,$1=$2nomozbinding...,$data);
 // Only works in IE: <span style="width: expression(alert(Ping!));"></span>
 $data=preg_replace(#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼"]*.*?expression[＼x00-＼x20]*＼([^>]*+>#i,$1>,$data);
 $data=preg_replace(#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼"]*.*?behaviour[＼x00-＼x20]*＼([^>]*+>#i,$1>,$data);
 $data=preg_replace(#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼"]*.*?s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:*[^>]*+>#iu,$1>,$data);
 // Remove namespaced elements (we do not need them)
 $data=preg_replace(#</*＼w+:＼w[^>]*+>#i,,$data);
 do{// Remove really unwanted tags
 $old_data=$data;
 $data=preg_replace(#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i,,$data);
 }while($old_data!==$data);
 // we are done...
 return $data;
}

方法三：

<?php
//php防注入和XSS攻击通用过滤. 
//by qq:831937
$_GET     && SafeFilter($_GET);
$_POST    && SafeFilter($_POST);
$_COOKIE  && SafeFilter($_COOKIE);
 
function SafeFilter (&$arr) 
{
    
   $ra=Array(/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/,/script/,/javascript/,/vbscript/,/expression/,/applet/,/meta/,/xml/,/blink/,/link/,/style/,/embed/,/object/,/frame/,/layer/,/title/,/bgsound/,/base/,/onload/,/onunload/,/onchange/,/onsubmit/,/onreset/,/onselect/,/onblur/,/onfocus/,/onabort/,/onkeydown/,/onkeypress/,/onkeyup/,/onclick/,/ondblclick/,/onmousedown/,/onmousemove/,/onmouseout/,/onmouseover/,/onmouseup/,/onunload/);
    
   if (is_array($arr))
   {
     foreach ($arr as $key => $value) 
     {
        if (!is_array($value))
        {
          if (!get_magic_quotes_gpc())             //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义 。
          {
             $value  = addslashes($value);           //给单引号（）、双引号（"）、反斜线（\）与 NUL（NULL 字符）加上反斜线转义
          }
          $value       = preg_replace($ra,,$value);     //删除非打印字符，粗暴式过滤xss可疑字符串
          $arr[$key]     = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
        }
        else
        {
          SafeFilter($arr[$key]);
        }
     }
   }
}
?>

涉及5万余电话号码以色列间谍软件被曝监控多国政要与记者	夏天该拍摄星空银河了你会吗？
以不变应万变风光摄影拍照技巧集锦	5个微距镜头的常见误解

技术文章快速查找

PHP 5.0对象模型深度探索之访问方式

PHP开发框架的现状和展望

PHP中soap用法示例【SoapServer服务端与SoapClient客户端编写】

PHP+Mysql+jQuery实现动态展示信息

相关下载

在线教程导航

软件应用
·Windows8	·Windows7	·Word
·Excel	·PPT	·WPS
Web开发
·ASP	·JavaScript	·DIV+CSS
·JSP	·VbScript	·XML
·PHP
开发语言
·VB	·VC	·ASP.NET
·Java	·C++	·Delphi
数据库开发
·MySQL	·MsSQL	·Access
·Oracle	·DB2
手机系统
·Android	·iOS	·WindowsPhone
网站设计
·Flash	·Dreamweaver	·Fireworks
平面设计
·Photoshop	·CorelDraw	·AutoCAD
·3DsMAX	·Illustrator
网络技术
·网站运营	·网络安全	·网络搭建