Security.class.php文件

 <?php

 class Security {

     public $filename_bad_chars =    array(

         '../', '<!--', '-->', '<', '>',

         "'", '"', '&', '$', '#',

         '{', '}', '[', ']', '=',

         ';', '?', '%20', '%22',

         '%3c',        // <

         '%253c',    // <

         '%3e',        // >

         '%0e',        // >

         '%28',        // (

         '%29',        // )

         '%2528',    // (

         '%26',        // &

         '%24',        // $

         '%3f',        // ?

         '%3b',        // ;

         '%3d'        // =

     );

     protected $_xss_hash =    '';

     protected $_never_allowed_str =    array(

         'document.cookie'    => '[removed]',

         'document.write'    => '[removed]',

         '.parentNode'        => '[removed]',

         '.innerHTML'        => '[removed]',

         '-moz-binding'        => '[removed]',

         '<!--'                => '&lt;!--',

         '-->'                => '--&gt;',

         '<![CDATA['            => '&lt;![CDATA[',

         '<comment>'            => '&lt;comment&gt;'

     );

     protected $_never_allowed_regex = array(

         'javascript\s*:',

         '(document|(document\.)?window)\.(location|on\w*)',

         'expression\s*(\(|&\#40;)', // CSS and IE

         'vbscript\s*:', // IE, surprise!

         'Redirect\s+302',

         "([\"'])?data\s*:[^\\1]*?base64[^\\1]*?,[^\\1]*?\\1?"

     );

     public function gprc_xss(){

         if($_POST)$_POST             = $this->xss_clean($_POST);

         if($_GET)$_GET               = $this->xss_clean($_GET);

         if($_COOKIE)$_COOKIE         = $this->xss_clean($_COOKIE);

         if($_REQUEST)$_REQUEST       = $this->xss_clean($_REQUEST);

     }

     public function remove_invisible_characters($str, $url_encoded = TRUE){

             $non_displayables = array();

             if ($url_encoded)  {

                 $non_displayables[] = '/%0[0-8bcef]/';    // url encoded 00-08, 11, 12, 14, 15

                 $non_displayables[] = '/%1[0-9a-f]/';    // url encoded 16-31

             }

             $non_displayables[] = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';    // 00-08, 11, 12, 14-31, 127

             do {

                 $str = preg_replace($non_displayables, '', $str, -1, $count);

             }

             while ($count);

             return $str;

     }

     public function xss_clean($str, $is_image = FALSE){

         if (is_array($str)){

             while (list($key) = each($str)){

                 $str[$key] = $this->xss_clean($str[$key]);

             }

             return $str;

         }

         $str = $this->_validate_entities($this->remove_invisible_characters($str));

         $str = rawurldecode($str);

         $str = preg_replace_callback("/[a-z]+=([\'\"]).*?\\1/si", array($this, '_convert_attribute'), $str);

         $str = preg_replace_callback('/<\w+.*/si', array($this, '_decode_entity'), $str);

         $str = $this->remove_invisible_characters($str);

         $str = str_replace("\t", ' ', $str);

         $converted_string = $str;

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE){

             $str = preg_replace('/<\?(php)/i', '&lt;?\\1', $str);

         }else    {

             $str = str_replace(array('<?', '?'.'>'), array('&lt;?', '?&gt;'), $str);

         }

         $words = array(

             'javascript', 'expression', 'vbscript', 'script', 'base64',

             'applet', 'alert', 'document', 'write', 'cookie', 'window'

         );

         foreach ($words as $word){

             $word = implode('\s*', str_split($word)).'\s*';

             $str = preg_replace_callback('#('.substr($word, 0, -3).')(\W)#is', array($this, '_compact_exploded_words'), $str);

         }

         do{

             $original = $str;

             if (preg_match('/<a/i', $str))$str = preg_replace_callback('#<a\s+([^>]*?)(?:>|$)#si', array($this, '_js_link_removal'), $str);

             if (preg_match('/<img/i', $str))$str = preg_replace_callback('#<img\s+([^>]*?)(?:\s?/?>|$)#si', array($this, '_js_img_removal'), $str);

             if (preg_match('/script|xss/i', $str))$str = preg_replace('#</*(?:script|xss).*?>#si', '[removed]', $str);

         }

         while ($original !== $str);

         unset($original);

         $str = $this->_remove_evil_attributes($str, $is_image);

         $naughty = 'alert|applet|audio|basefont|base|behavior|bgsound|blink|body|embed|expression|form|frameset|frame|head|html|ilayer|iframe|input|isindex|layer|link|meta|object|plaintext|style|script|textarea|title|video|xml|xss';

         $str = preg_replace_callback('#<(/*\s*)('.$naughty.')([^><]*)([><]*)#is', array($this, '_sanitize_naughty_html'), $str);

         $str = preg_replace('#(alert|cmd|passthru|eval|exec|expression|system|fopen|fsockopen|file|file_get_contents|readfile|unlink)(\s*)\((.*?)\)#si',    '\\1\\2(\\3)',    $str);

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE)return ($str === $converted_string);

         return $str;

     }

     public function xss_hash(){

         if ($this->_xss_hash === '')$this->_xss_hash = md5(uniqid(mt_rand()));

         return $this->_xss_hash;

     }

     public function entity_decode($str, $charset = NULL){

         if (strpos($str, '&') === FALSE)return $str;

         if (empty($charset))$charset = 'utf-8';

         do{

             $matches = $matches1 = 0;

             $str = preg_replace('~(&#x0*[0-9a-f]{2,5});?~iS', '$1;', $str, -1, $matches);

             $str = preg_replace('~(&#\d{2,4});?~S', '$1;', $str, -1, $matches1);

             $str = html_entity_decode($str, ENT_COMPAT, $charset);

         }

         while ($matches OR $matches1);

         return $str;

     }

     public function sanitize_filename($str, $relative_path = FALSE){

         $bad = $this->filename_bad_chars;

         if ( ! $relative_path){

             $bad[] = './';

             $bad[] = '/';

         }

         $str = $this->remove_invisible_characters($str, FALSE);

         do{

             $old = $str;

             $str = str_replace($bad, '', $str);

         }while ($old !== $str);

         return stripslashes($str);

     }

     public function strip_image_tags($str){

         return preg_replace(array('#<img[\s/]+.*?src\s*=\s*["\'](.+?)["\'].*?\>#', '#<img[\s/]+.*?src\s*=\s*(.+?).*?\>#'), '\\1', $str);

     }

     protected function _compact_exploded_words($matches){

         return preg_replace('/\s+/s', '', $matches[1]).$matches[2];

     }

     protected function _remove_evil_attributes($str, $is_image){

         $evil_attributes = array('style', 'xmlns', 'formaction');

         if ($is_image === TRUE)unset($evil_attributes[array_search('xmlns', $evil_attributes)]);

         do {

             $count = 0;

             $attribs = array();

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*(\042|\047)([^\\2]*?)(\\2)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*([^\s>]*)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             if (count($attribs) > 0)$str = preg_replace('/(<?)(\/?[^><]+?)([^A-Za-z<>\-])(.*?)('.implode('|', $attribs).')(.*?)([\s><]?)([><]*)/i', '$1$2 $4$6$7$8', $str, -1, $count);

         }

         while ($count);

         return $str;

     }

     protected function _sanitize_naughty_html($matches)    {

         return '&lt;'.$matches[1].$matches[2].$matches[3].str_replace(array('>', '<'), array('&gt;', '&lt;'), $matches[4]);

     }

     protected function _js_link_removal($match){

         return str_replace($match[1],

                     preg_replace('#href=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|data\s*:)#si',

                             '',    $this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))    ),$match[0]);

     }

     protected function _js_img_removal($match){

         return str_replace($match[1],

                     preg_replace('#src=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|base64\s*,)#si',

                             '',$this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))

                     ),

                     $match[0]);

     }

     protected function _convert_attribute($match){

         return str_replace(array('>', '<', '\\'), array('&gt;', '&lt;', '\\\\'), $match[0]);

     }

     protected function _filter_attributes($str){

         $out = '';

         if (preg_match_all('#\s*[a-z\-]+\s*=\s*(\042|\047)([^\\1]*?)\\1#is', $str, $matches)){

             foreach ($matches[0] as $match){

                 $out .= preg_replace('#/\*.*?\*/#s', '', $match);

             }

         }

         return $out;

     }

     protected function _decode_entity($match){

         return $this->entity_decode($match[0], strtoupper('utf-8'));

     }

     protected function _validate_entities($str){

         $str = preg_replace('|\&([a-z\_0-9\-]+)\=([a-z\_0-9\-]+)|i', $this->xss_hash().'\\1=\\2', $str);

         $str = preg_replace('#(&\#?[0-9a-z]{2,})([\x00-\x20])*;?#i', '\\1;\\2', $str);

         $str = preg_replace('#(&\#x?)([0-9A-F]+);?#i', '\\1\\2;', $str);

         return str_replace($this->xss_hash(), '&', $str);

     }

     protected function _do_never_allowed($str){

         $str = str_replace(array_keys($this->_never_allowed_str), $this->_never_allowed_str, $str);

         foreach ($this->_never_allowed_regex as $regex){

             $str = preg_replace('#'.$regex.'#is', '[removed]', $str);

         }

         return $str;

     }

     /**

      * @desc: 暂时不用

      * */

     public function gprc_sql(){

         if(!get_magic_quotes_gpc()) {

             if($_POST)    $_POST      =  $this->daddslashes($_POST);

             if($_GET)     $_GET       =  $this->daddslashes($_GET);

             if($_COOKIE)  $_COOKIE    =  $this->daddslashes($_COOKIE);

             if($_REQUEST) $_REQUEST   =  $this->daddslashes($_REQUEST);

         }

     }

     public function daddslashes($string){

         if(!is_array($string)) return addslashes($string);

         foreach($string as $key => $val) $string[$key] =  $this->daddslashes($val);

         return $string;

     }

 }

调用方式:

$SEC = new Security();
$SEC->gprc_xss();
$SEC = NULL;

XSS安全处理的更多相关文章

  1. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  2. XSS

    XSS的含义 XSS(Cross Site Scripting)即跨站脚本.跨站的主要内容是在脚本上. 跨站脚本 跨站脚本的跨,体现了浏览器的特性,可以跨域.所以也就给远程代码或者第三方域上的代码提供 ...

  3. 【XSS】延长 XSS 生命期

    XSS 的本质仍是一段脚本.和其他文档元素一样,页面关了一切都销毁.除非能将脚本蔓延到页面以外的地方,那样才能获得更长的生命力. 庆幸的是,从 DOM 诞生的那一天起,就已为我们准备了这个特殊的功能, ...

  4. 探索ASP.NET MVC5系列之~~~2.视图篇(上)---包含XSS防御和异步分部视图的处理

    其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/dunitian/p/4822808.ht ...

  5. XSS分析及预防

    XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行.在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息 ...

  6. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  7. xss和sql注入原理学习

    8.4 Web跨站脚本攻击 8.4.1  跨站脚本攻击的原理(1) 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS.但是,由于层叠样式表 (Cascading Style ...

  8. XSS 前端防火墙 —— 整装待发

    到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程 ...

  9. XSS 前端防火墙 —— 天衣无缝的防护

    上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面. 到目前为止,我们防护的深度已经差不多,但广度还有所欠缺. 例如,我们的属性钩子只考虑了 setAttribut ...

  10. XSS 前端防火墙 —— 无懈可击的钩子

    昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了: 静态模块:使用 MutationObserver 扫描. 动态模块:通过 API 钩子来拦截路径属性. ...

随机推荐

  1. Android 与 js 简单互调

    总结: Android 调用  js: 在 Android 中创建通往 javascript 的接口; 在 html  中定义要执行的方法; 在  Android  中的具体事件中进行调用. cont ...

  2. 数据科学家Docker历险记(1):windows下环境搭建

    原文:http://www.xueqing.tv/cms/article/247 Docker是最近炒得很火热的一门技术,在网上可以找到关于它的介绍文章,比如<Docker到底是什么?为什么它这 ...

  3. Docker创建虚机和swarm

    创建虚机: First, quickly create a virtual switch for your virtual machines (VMs) to share, so they will ...

  4. win8下everything无法使用的解决方法

    今日我电脑上的Everything打开后都无法使用了,只显示几个分区,重装之后暂时就好了,重启电脑又坏了 解决方法:运行services.msc,启动everything.然后重启everything ...

  5. [Functional Programming] Arrow Functor with contramap

    What is Arrow Functor? Arrow is a Profunctor that lifts a function of type a -> b and allows for ...

  6. Robotframework(4):创建变量的类型和使用

    转载:http://www.cnblogs.com/CCGGAAG/p/7800321.html 实际的测试过程中,编写脚本时,我们需要创建一些变量来暂时或者永久性的存储数据,那么在Robotfram ...

  7. Python引用(import)文件夹下的py文件的方法

    Python的import包含文件功能就跟PHP的include类似,但更确切的说应该更像是PHP中的require,因为Python里的import只要目标不存在就报错程序无法往下执行.要包含目录里 ...

  8. android中Fragment的使用

    android中的Fragment跟网页中的iframe很像,用于在界面上嵌入局部动态内容,我的描述可能不准确,只是我的理解吧 创建Fragment很简单,在Android Studio中是这么创建的 ...

  9. SpringBoot添加对jsp的支持

    1.在pom.xml添加如下内容: <dependency> <groupId>org.apache.tomcat.embed</groupId> <arti ...

  10. Unity3D 学习 创建简单的按钮、相应事件

    选择file -->new project 然后保存到相应的地方 下面是这个刚创建的工程效果图. 然后创建一个C# Script ||定位到最左下角找到  assets --> creat ...