php防注入和XSS攻击通用过滤
对网站发动XSS攻击的方式有很多种。
仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结如下:
假定所有的用户输入数据都是“邪恶”的
弱类型的脚本语言必须保证类型和期望的一致
考虑周全的正则表达式
strip_tags、htmlspecialchars 这类函数很好用
外部的 Javascript 不一定就是可靠的
引号过滤必须要重点注意
除去不必要的 HTML 注释
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss。
注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
方法二,替换法
例子
function xss_clean($data){// Fix &entity\n;$data=str_replace(array('&','<','>'),array('&','<','>'),$data);$data=preg_replace('/(&#*\w+)[\x00-\x20]+;/u','$1;',$data);$data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);$data=html_entity_decode($data,ENT_COMPAT,'UTF-8');// Remove any attribute starting with "on" or xmlns$data=preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);// Remove javascript: and vbscript: protocols$data=preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2nojavascript...',$data);$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2novbscript...',$data);$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u','$1=$2nomozbinding...',$data);// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i','$1>',$data);$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i','$1>',$data);$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu','$1>',$data);// Remove namespaced elements (we do not need them)$data=preg_replace('#</*\w+:\w[^>]*+>#i','',$data);do{// Remove really unwanted tags$old_data=$data;$data=preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data);}while($old_data!==$data);// we are done...return $data;}
方法三:全局函数
//php防注入和XSS攻击通用过滤.$_GET && SafeFilter($_GET);$_POST && SafeFilter($_POST);$_COOKIE && SafeFilter($_COOKIE);function SafeFilter (&$arr) {$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');if (is_array($arr))foreach ($arr as $key => $value)if (!is_array($value))if (!get_magic_quotes_gpc()) {$value = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)加上反斜线转义}$value = preg_replace($ra,'',$value); //删除非打印字符,粗暴式过滤xss可疑字符串$arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为HTML实体} else {SafeFilter($arr[$key]);}}}}
看完本文有收获?点赞、分享是最大的支持!