function escape($string) {

    global $_POST;

    $search = array (

        '/</i',

        '/>/i',

        '/\">/i',

        '/\bunion\b/i',

        '/load_file(\s*(\/\*.*\*\/)?\s*)+\(/i',

        '/into(\s*(\/\*.*\*\/)?\s*)+outfile/i',

        '/\bor\b/i',

        '/\<([\/]?)script([^\>]*?)\>/si',

        '/\<([\/]?)iframe([^\>]*?)\>/si',

        '/\<([\/]?)frame([^\>]*?)\>/si'

    );

    $replace = array (

        '<',

        '>',

        '">',

        'union ',

        'load_file  (',

        'into  outfile',

        'or ',

        '<\\1script\\2>',

        '<\\1iframe\\2>',

        '<\\1frame\\2>'

    );

    if (is_array ( $string )) {

        $key = array_keys ( $string );

        $size = sizeof ( $key );

        for($i = 0; $i < $size; $i ++) {

            $string [$key [$i]] = escape ( $string [$key [$i]] );

        }

    } else {

        if (! $_POST ['stats_code'] && ! $_POST ['ad_type_code_content']) {

            $string = str_replace ( array (

                '\n',

                '\r'

            ), array (

                chr ( 10 ),

                chr ( 13 )

            ), preg_replace ( $search, $replace, $string ) );

            $string = remove_xss ( $string );

        } else {

            $string = $string;

        }

    }

    return $string;

}

function remove_xss($val) {

    $val = preg_replace ( '/([\x00-\x08\x0b-\x0c\x0e-\x19])/', '', $val );

    $search = 'abcdefghijklmnopqrstuvwxyz';

    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

    $search .= '1234567890!@#$%^&*()';

    $search .= '~`";:?+/={}[]-_|\'\\';

    for($i = 0; $i < strlen ( $search ); $i ++) {

        $val = preg_replace ( '/(&#[xX]0{0,8}' . dechex ( ord ( $search [$i] ) ) . ';?)/i', $search [$i], $val );

        $val = preg_replace ( '/(�{0,8}' . ord ( $search [$i] ) . ';?)/', $search [$i], $val );

    }

    $ra1 = array (

        'javascript',

        'vbscript',

        'expression',

        'applet',

        'meta',

        'xml',

        'blink',

        'script',

        'object',

        'iframe',

        'frame',

        'frameset',

        'ilayer',

        'bgsound'

    );

    $ra2 = array (

        'onabort',

        'onactivate',

        'onafterprint',

        'onafterupdate',

        'onbeforeactivate',

        'onbeforecopy',

        'onbeforecut',

        'onbeforedeactivate',

        'onbeforeeditfocus',

        'onbeforepaste',

        'onbeforeprint',

        'onbeforeunload',

        'onbeforeupdate',

        'onblur',

        'onbounce',

        'oncellchange',

        'onchange',

        'onclick',

        'oncontextmenu',

        'oncontrolselect',

        'oncopy',

        'oncut',

        'ondataavailable',

        'ondatasetchanged',

        'ondatasetcomplete',

        'ondblclick',

        'ondeactivate',

        'ondrag',

        'ondragend',

        'ondragenter',

        'ondragleave',

        'ondragover',

        'ondragstart',

        'ondrop',

        'onerror',

        'onerrorupdate',

        'onfilterchange',

        'onfinish',

        'onfocus',

        'onfocusin',

        'onfocusout',

        'onhelp',

        'onkeydown',

        'onkeypress',

        'onkeyup',

        'onlayoutcomplete',

        'onload',

        'onlosecapture',

        'onmousedown',

        'onmouseenter',

        'onmouseleave',

        'onmousemove',

        'onmouseout',

        'onmouseover',

        'onmouseup',

        'onmousewheel',

        'onmove',

        'onmoveend',

        'onmovestart',

        'onpaste',

        'onpropertychange',

        'onreadystatechange',

        'onreset',

        'onresize',

        'onresizeend',

        'onresizestart',

        'onrowenter',

        'onrowexit',

        'onrowsdelete',

        'onrowsinserted',

        'onscroll',

        'onselect',

        'onselectionchange',

        'onselectstart',

        'onstart',

        'onstop',

        'onsubmit',

        'onunload'

    );

    $ra = array_merge ( $ra1, $ra2 );

    $found = true;

    while ( $found == true ) {

        $val_before = $val;

        for($i = 0; $i < sizeof ( $ra ); $i ++) {

            $pattern = '/';

            for($j = 0; $j < strlen ( $ra [$i] ); $j ++) {

                if ($j > 0) {

                    $pattern .= '(';

                    $pattern .= '(&#[xX]0{0,8}([9ab]);)';

                    $pattern .= '|';

                    $pattern .= '|(�{0,8}([9|10|13]);)';

                    $pattern .= ')*';

                }

                $pattern .= $ra [$i] [$j];

            }

            $pattern .= '/i';

            $replacement = substr ( $ra [$i], 0, 2 ) . ' ' . substr ( $ra [$i], 2 );

            $val = preg_replace ( $pattern, $replacement, $val );

            if ($val_before == $val) {

                $found = false;

            }

        }

    }

    return $val;

}

  

php安全字段和防止XSS跨站脚本攻击过滤函数的更多相关文章

  1. PHP进行安全字段和防止XSS跨站脚本攻击过滤(通用版)

    废话不多说,直接贴使用方法和代码: 使用方式:1)写在公共方法里面,随时调用即可.2)写入类文件,使用是include_once 即可 代码: /* 进行安全字段和xss跨站脚本攻击过滤(通用版) - ...

  2. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  3. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  4. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)

    转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...

  5. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  6. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  7. PHP漏洞全解(四)-xss跨站脚本攻击

    本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

  8. JAVA覆写Request过滤XSS跨站脚本攻击

    注:本文非本人原著. demo的地址:链接:http://pan.baidu.com/s/1miEmHMo 密码:k5ca 如何过滤Xss跨站脚本攻击,我想,Xss跨站脚本攻击令人为之头疼.为什么呢. ...

  9. xss跨站脚本攻击及xss漏洞防范

    xss跨站脚本攻击(Cross Site Scripting,因与css样式表相似故缩写为XSS).恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Scrip ...

随机推荐

  1. optix之纹理使用

    1.在OpenGL中生成纹理texture optix中的纹理直接使用OpenGL纹理的id,不能跨越OpenGL纹理,所以我们先在OpenGL环境下生成一张纹理. 这个过程就很熟悉了: void W ...

  2. 操作系统|VirtualBox for Mac(虚拟机软件)

    VirtualBox是德国一家软件公司InnoTek所开发的虚拟系统软件,它不仅具有丰富的特色,而且性能也很优异,更是开源的,成为了一个发布在GPL许可之下的自由软件.VirtualBox 可以在 L ...

  3. css 知识点,你有可能不知道欧!

    1.[定位特性] 绝对定位和固定定位,同时设置left和right等同于隐式的设置宽度. <style> span{ position:fixed; left:30px; right:30 ...

  4. WPF 精修篇 自定义控件

    原文:WPF 精修篇 自定义控件 自定义控件 因为没有办法对界面可视化编辑 所以用来很少 现在实现的是 自定义控件的 自定义属性 和自定义方法 用VS 创建自定义控件后 会自动创建 Themes 文件 ...

  5. kindEditor 修改上传图片的路径

    压缩过的js类似

  6. Jmeter-Java请求实战

    1.1. jmeter-java插件实现接口测试 (linux /mysql/rabbit-mq) 本次需要准备环境 Eclipse+jdk8 Jmeter Python 1.1.1. Rabbit- ...

  7. Linux shell脚本编程及系统启动实践

    1.编写脚本,接受二个位置参数,magedu和/www,判断系统是否有magedu,如果没有则自动创建magedu用户,并自动设置家目录为/www [root@test qiuhom]#cat che ...

  8. MyEclipse构建maven项目报错

    直接上图: 这里有三种方案: 1.检查jdk版本:最好换成1.8版本 项目右键-->build path-->configure build Path; 1.2  点击 libraries ...

  9. 遍历json数据的几种方式

    json(JavaScript Object Notation),json是一种多用于存储和交换文本信息的语法.他能够进行数据的传输,通常和ajax一起使用.它具有体积小.速度快,易解析等诸多优点. ...

  10. oracle学习笔记(十七) PL/SQL高级应用

    PL/SQL高级应用 动态SQL 在PL/SQL中,不能直接执行DDL(create,alter,drop),得使用动态SQL,当然,除了DDL,动态SQL也可以执行DML(select,insert ...