Security.class.php文件

 <?php

 class Security {

     public $filename_bad_chars =    array(

         '../', '<!--', '-->', '<', '>',

         "'", '"', '&', '$', '#',

         '{', '}', '[', ']', '=',

         ';', '?', '%20', '%22',

         '%3c',        // <

         '%253c',    // <

         '%3e',        // >

         '%0e',        // >

         '%28',        // (

         '%29',        // )

         '%2528',    // (

         '%26',        // &

         '%24',        // $

         '%3f',        // ?

         '%3b',        // ;

         '%3d'        // =

     );

     protected $_xss_hash =    '';

     protected $_never_allowed_str =    array(

         'document.cookie'    => '[removed]',

         'document.write'    => '[removed]',

         '.parentNode'        => '[removed]',

         '.innerHTML'        => '[removed]',

         '-moz-binding'        => '[removed]',

         '<!--'                => '&lt;!--',

         '-->'                => '--&gt;',

         '<![CDATA['            => '&lt;![CDATA[',

         '<comment>'            => '&lt;comment&gt;'

     );

     protected $_never_allowed_regex = array(

         'javascript\s*:',

         '(document|(document\.)?window)\.(location|on\w*)',

         'expression\s*(\(|&\#40;)', // CSS and IE

         'vbscript\s*:', // IE, surprise!

         'Redirect\s+302',

         "([\"'])?data\s*:[^\\1]*?base64[^\\1]*?,[^\\1]*?\\1?"

     );

     public function gprc_xss(){

         if($_POST)$_POST             = $this->xss_clean($_POST);

         if($_GET)$_GET               = $this->xss_clean($_GET);

         if($_COOKIE)$_COOKIE         = $this->xss_clean($_COOKIE);

         if($_REQUEST)$_REQUEST       = $this->xss_clean($_REQUEST);

     }

     public function remove_invisible_characters($str, $url_encoded = TRUE){

             $non_displayables = array();

             if ($url_encoded)  {

                 $non_displayables[] = '/%0[0-8bcef]/';    // url encoded 00-08, 11, 12, 14, 15

                 $non_displayables[] = '/%1[0-9a-f]/';    // url encoded 16-31

             }

             $non_displayables[] = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';    // 00-08, 11, 12, 14-31, 127

             do {

                 $str = preg_replace($non_displayables, '', $str, -1, $count);

             }

             while ($count);

             return $str;

     }

     public function xss_clean($str, $is_image = FALSE){

         if (is_array($str)){

             while (list($key) = each($str)){

                 $str[$key] = $this->xss_clean($str[$key]);

             }

             return $str;

         }

         $str = $this->_validate_entities($this->remove_invisible_characters($str));

         $str = rawurldecode($str);

         $str = preg_replace_callback("/[a-z]+=([\'\"]).*?\\1/si", array($this, '_convert_attribute'), $str);

         $str = preg_replace_callback('/<\w+.*/si', array($this, '_decode_entity'), $str);

         $str = $this->remove_invisible_characters($str);

         $str = str_replace("\t", ' ', $str);

         $converted_string = $str;

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE){

             $str = preg_replace('/<\?(php)/i', '&lt;?\\1', $str);

         }else    {

             $str = str_replace(array('<?', '?'.'>'), array('&lt;?', '?&gt;'), $str);

         }

         $words = array(

             'javascript', 'expression', 'vbscript', 'script', 'base64',

             'applet', 'alert', 'document', 'write', 'cookie', 'window'

         );

         foreach ($words as $word){

             $word = implode('\s*', str_split($word)).'\s*';

             $str = preg_replace_callback('#('.substr($word, 0, -3).')(\W)#is', array($this, '_compact_exploded_words'), $str);

         }

         do{

             $original = $str;

             if (preg_match('/<a/i', $str))$str = preg_replace_callback('#<a\s+([^>]*?)(?:>|$)#si', array($this, '_js_link_removal'), $str);

             if (preg_match('/<img/i', $str))$str = preg_replace_callback('#<img\s+([^>]*?)(?:\s?/?>|$)#si', array($this, '_js_img_removal'), $str);

             if (preg_match('/script|xss/i', $str))$str = preg_replace('#</*(?:script|xss).*?>#si', '[removed]', $str);

         }

         while ($original !== $str);

         unset($original);

         $str = $this->_remove_evil_attributes($str, $is_image);

         $naughty = 'alert|applet|audio|basefont|base|behavior|bgsound|blink|body|embed|expression|form|frameset|frame|head|html|ilayer|iframe|input|isindex|layer|link|meta|object|plaintext|style|script|textarea|title|video|xml|xss';

         $str = preg_replace_callback('#<(/*\s*)('.$naughty.')([^><]*)([><]*)#is', array($this, '_sanitize_naughty_html'), $str);

         $str = preg_replace('#(alert|cmd|passthru|eval|exec|expression|system|fopen|fsockopen|file|file_get_contents|readfile|unlink)(\s*)\((.*?)\)#si',    '\\1\\2(\\3)',    $str);

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE)return ($str === $converted_string);

         return $str;

     }

     public function xss_hash(){

         if ($this->_xss_hash === '')$this->_xss_hash = md5(uniqid(mt_rand()));

         return $this->_xss_hash;

     }

     public function entity_decode($str, $charset = NULL){

         if (strpos($str, '&') === FALSE)return $str;

         if (empty($charset))$charset = 'utf-8';

         do{

             $matches = $matches1 = 0;

             $str = preg_replace('~(&#x0*[0-9a-f]{2,5});?~iS', '$1;', $str, -1, $matches);

             $str = preg_replace('~(&#\d{2,4});?~S', '$1;', $str, -1, $matches1);

             $str = html_entity_decode($str, ENT_COMPAT, $charset);

         }

         while ($matches OR $matches1);

         return $str;

     }

     public function sanitize_filename($str, $relative_path = FALSE){

         $bad = $this->filename_bad_chars;

         if ( ! $relative_path){

             $bad[] = './';

             $bad[] = '/';

         }

         $str = $this->remove_invisible_characters($str, FALSE);

         do{

             $old = $str;

             $str = str_replace($bad, '', $str);

         }while ($old !== $str);

         return stripslashes($str);

     }

     public function strip_image_tags($str){

         return preg_replace(array('#<img[\s/]+.*?src\s*=\s*["\'](.+?)["\'].*?\>#', '#<img[\s/]+.*?src\s*=\s*(.+?).*?\>#'), '\\1', $str);

     }

     protected function _compact_exploded_words($matches){

         return preg_replace('/\s+/s', '', $matches[1]).$matches[2];

     }

     protected function _remove_evil_attributes($str, $is_image){

         $evil_attributes = array('style', 'xmlns', 'formaction');

         if ($is_image === TRUE)unset($evil_attributes[array_search('xmlns', $evil_attributes)]);

         do {

             $count = 0;

             $attribs = array();

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*(\042|\047)([^\\2]*?)(\\2)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*([^\s>]*)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             if (count($attribs) > 0)$str = preg_replace('/(<?)(\/?[^><]+?)([^A-Za-z<>\-])(.*?)('.implode('|', $attribs).')(.*?)([\s><]?)([><]*)/i', '$1$2 $4$6$7$8', $str, -1, $count);

         }

         while ($count);

         return $str;

     }

     protected function _sanitize_naughty_html($matches)    {

         return '&lt;'.$matches[1].$matches[2].$matches[3].str_replace(array('>', '<'), array('&gt;', '&lt;'), $matches[4]);

     }

     protected function _js_link_removal($match){

         return str_replace($match[1],

                     preg_replace('#href=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|data\s*:)#si',

                             '',    $this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))    ),$match[0]);

     }

     protected function _js_img_removal($match){

         return str_replace($match[1],

                     preg_replace('#src=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|base64\s*,)#si',

                             '',$this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))

                     ),

                     $match[0]);

     }

     protected function _convert_attribute($match){

         return str_replace(array('>', '<', '\\'), array('&gt;', '&lt;', '\\\\'), $match[0]);

     }

     protected function _filter_attributes($str){

         $out = '';

         if (preg_match_all('#\s*[a-z\-]+\s*=\s*(\042|\047)([^\\1]*?)\\1#is', $str, $matches)){

             foreach ($matches[0] as $match){

                 $out .= preg_replace('#/\*.*?\*/#s', '', $match);

             }

         }

         return $out;

     }

     protected function _decode_entity($match){

         return $this->entity_decode($match[0], strtoupper('utf-8'));

     }

     protected function _validate_entities($str){

         $str = preg_replace('|\&([a-z\_0-9\-]+)\=([a-z\_0-9\-]+)|i', $this->xss_hash().'\\1=\\2', $str);

         $str = preg_replace('#(&\#?[0-9a-z]{2,})([\x00-\x20])*;?#i', '\\1;\\2', $str);

         $str = preg_replace('#(&\#x?)([0-9A-F]+);?#i', '\\1\\2;', $str);

         return str_replace($this->xss_hash(), '&', $str);

     }

     protected function _do_never_allowed($str){

         $str = str_replace(array_keys($this->_never_allowed_str), $this->_never_allowed_str, $str);

         foreach ($this->_never_allowed_regex as $regex){

             $str = preg_replace('#'.$regex.'#is', '[removed]', $str);

         }

         return $str;

     }

     /**

      * @desc: 暂时不用

      * */

     public function gprc_sql(){

         if(!get_magic_quotes_gpc()) {

             if($_POST)    $_POST      =  $this->daddslashes($_POST);

             if($_GET)     $_GET       =  $this->daddslashes($_GET);

             if($_COOKIE)  $_COOKIE    =  $this->daddslashes($_COOKIE);

             if($_REQUEST) $_REQUEST   =  $this->daddslashes($_REQUEST);

         }

     }

     public function daddslashes($string){

         if(!is_array($string)) return addslashes($string);

         foreach($string as $key => $val) $string[$key] =  $this->daddslashes($val);

         return $string;

     }

 }

调用方式:

$SEC = new Security();
$SEC->gprc_xss();
$SEC = NULL;

XSS安全处理的更多相关文章

  1. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  2. XSS

    XSS的含义 XSS(Cross Site Scripting)即跨站脚本.跨站的主要内容是在脚本上. 跨站脚本 跨站脚本的跨,体现了浏览器的特性,可以跨域.所以也就给远程代码或者第三方域上的代码提供 ...

  3. 【XSS】延长 XSS 生命期

    XSS 的本质仍是一段脚本.和其他文档元素一样,页面关了一切都销毁.除非能将脚本蔓延到页面以外的地方,那样才能获得更长的生命力. 庆幸的是,从 DOM 诞生的那一天起,就已为我们准备了这个特殊的功能, ...

  4. 探索ASP.NET MVC5系列之~~~2.视图篇(上)---包含XSS防御和异步分部视图的处理

    其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/dunitian/p/4822808.ht ...

  5. XSS分析及预防

    XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行.在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息 ...

  6. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  7. xss和sql注入原理学习

    8.4 Web跨站脚本攻击 8.4.1  跨站脚本攻击的原理(1) 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS.但是,由于层叠样式表 (Cascading Style ...

  8. XSS 前端防火墙 —— 整装待发

    到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程 ...

  9. XSS 前端防火墙 —— 天衣无缝的防护

    上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面. 到目前为止,我们防护的深度已经差不多,但广度还有所欠缺. 例如,我们的属性钩子只考虑了 setAttribut ...

  10. XSS 前端防火墙 —— 无懈可击的钩子

    昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了: 静态模块:使用 MutationObserver 扫描. 动态模块:通过 API 钩子来拦截路径属性. ...

随机推荐

  1. 转: 一个程序员的Java和C++学习之路(整理)

    http://blog.csdn.net/ajian005/article/details/8003655 http://m.blog.csdn.net/xugangwen/article/detai ...

  2. "Ext 4.1 Grid 'el.dom' 为空或不是对象"问题的解决

    我在使用Ext 4.1 做Grid,IE下冒出这么个错误,导致表格完全显示不出来,换另外一个IE浏览器,有没有问题,呵呵,百思不得其解啊... 后来得出答案,即在grid相关代码周围套上Ext.onR ...

  3. 解决jetty runner锁定js

    在web.xml中添加 <servlet> <!-- Override init parameter to avoid nasty --> <!-- file locki ...

  4. Web - TCP的三次握手

    在TCP/IP协议中,TCP协议提供可靠的连接服务,採用三次握手建立一个连接. 第一次握手:建立连接时,client发送syn包(syn=j)到server,并进入SYN_SENT状态,等待serv ...

  5. [精品]CAD批量处理工具

     需要此工具请Q:3567 618 336 CAD批量处理工具是基于AutoCAD二次开发的批处理插件.将程序加载到CAD中,使用自定义的Lisp代码就可对多个文档进行批量操作. 1.文件说明 CAD ...

  6. Android开发点滴 - 如何使按钮水平垂直居中且始终占据屏幕宽度一半

    问题描述: 如何使按钮水平垂直居中且始终占据屏幕宽度一半 效果如下: 竖屏: 横屏: 解决方案: 使用线性布局,指定线性布局的总权重(weightSum)为1, 指定按钮的权重为其一半即0.5 布局代 ...

  7. Linux shell中一些参数与变量简介

    linux中shell变量$#,$@,$0,$1,$2,$!,$$,$*,$-,$@......等很多个,很容易记错,这里再次整理一下,相关含义解释如下,并附上一个实践截图. 多看几次,多用几次,应该 ...

  8. 微软BI 之SSRS 系列 - 使用带参数的 MDX 查询实现一个分组聚合功能的报表

    基于数据仓库上的 SSRS 报表展示,一般可以直接通过 SQL 查询,存储过程,视图或者表等多种方式将数据加载并呈现在报表中.但是如果是基于 Cube 多维数据集的数据查询,就不能再使用 SQL 的语 ...

  9. selenium快速跳转视图到指定元素

    首先判断元素是否存在,如果存在的时候使用location_once_scrolled_into_view就可以滚动到某个元素处,也就是滚动直到这个元素出现在屏幕里.

  10. 简单的tcp聊天

    package com.pers.tcptest; import java.io.IOException; import java.io.InputStream; import java.io.Out ...