function escape($string) {

    global $_POST;

    $search = array (

        '/</i',

        '/>/i',

        '/\">/i',

        '/\bunion\b/i',

        '/load_file(\s*(\/\*.*\*\/)?\s*)+\(/i',

        '/into(\s*(\/\*.*\*\/)?\s*)+outfile/i',

        '/\bor\b/i',

        '/\<([\/]?)script([^\>]*?)\>/si',

        '/\<([\/]?)iframe([^\>]*?)\>/si',

        '/\<([\/]?)frame([^\>]*?)\>/si'

    );

    $replace = array (

        '<',

        '>',

        '">',

        'union ',

        'load_file  (',

        'into  outfile',

        'or ',

        '<\\1script\\2>',

        '<\\1iframe\\2>',

        '<\\1frame\\2>'

    );

    if (is_array ( $string )) {

        $key = array_keys ( $string );

        $size = sizeof ( $key );

        for($i = 0; $i < $size; $i ++) {

            $string [$key [$i]] = escape ( $string [$key [$i]] );

        }

    } else {

        if (! $_POST ['stats_code'] && ! $_POST ['ad_type_code_content']) {

            $string = str_replace ( array (

                '\n',

                '\r'

            ), array (

                chr ( 10 ),

                chr ( 13 )

            ), preg_replace ( $search, $replace, $string ) );

            $string = remove_xss ( $string );

        } else {

            $string = $string;

        }

    }

    return $string;

}

function remove_xss($val) {

    $val = preg_replace ( '/([\x00-\x08\x0b-\x0c\x0e-\x19])/', '', $val );

    $search = 'abcdefghijklmnopqrstuvwxyz';

    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

    $search .= '1234567890!@#$%^&*()';

    $search .= '~`";:?+/={}[]-_|\'\\';

    for($i = 0; $i < strlen ( $search ); $i ++) {

        $val = preg_replace ( '/(&#[xX]0{0,8}' . dechex ( ord ( $search [$i] ) ) . ';?)/i', $search [$i], $val );

        $val = preg_replace ( '/(�{0,8}' . ord ( $search [$i] ) . ';?)/', $search [$i], $val );

    }

    $ra1 = array (

        'javascript',

        'vbscript',

        'expression',

        'applet',

        'meta',

        'xml',

        'blink',

        'script',

        'object',

        'iframe',

        'frame',

        'frameset',

        'ilayer',

        'bgsound'

    );

    $ra2 = array (

        'onabort',

        'onactivate',

        'onafterprint',

        'onafterupdate',

        'onbeforeactivate',

        'onbeforecopy',

        'onbeforecut',

        'onbeforedeactivate',

        'onbeforeeditfocus',

        'onbeforepaste',

        'onbeforeprint',

        'onbeforeunload',

        'onbeforeupdate',

        'onblur',

        'onbounce',

        'oncellchange',

        'onchange',

        'onclick',

        'oncontextmenu',

        'oncontrolselect',

        'oncopy',

        'oncut',

        'ondataavailable',

        'ondatasetchanged',

        'ondatasetcomplete',

        'ondblclick',

        'ondeactivate',

        'ondrag',

        'ondragend',

        'ondragenter',

        'ondragleave',

        'ondragover',

        'ondragstart',

        'ondrop',

        'onerror',

        'onerrorupdate',

        'onfilterchange',

        'onfinish',

        'onfocus',

        'onfocusin',

        'onfocusout',

        'onhelp',

        'onkeydown',

        'onkeypress',

        'onkeyup',

        'onlayoutcomplete',

        'onload',

        'onlosecapture',

        'onmousedown',

        'onmouseenter',

        'onmouseleave',

        'onmousemove',

        'onmouseout',

        'onmouseover',

        'onmouseup',

        'onmousewheel',

        'onmove',

        'onmoveend',

        'onmovestart',

        'onpaste',

        'onpropertychange',

        'onreadystatechange',

        'onreset',

        'onresize',

        'onresizeend',

        'onresizestart',

        'onrowenter',

        'onrowexit',

        'onrowsdelete',

        'onrowsinserted',

        'onscroll',

        'onselect',

        'onselectionchange',

        'onselectstart',

        'onstart',

        'onstop',

        'onsubmit',

        'onunload'

    );

    $ra = array_merge ( $ra1, $ra2 );

    $found = true;

    while ( $found == true ) {

        $val_before = $val;

        for($i = 0; $i < sizeof ( $ra ); $i ++) {

            $pattern = '/';

            for($j = 0; $j < strlen ( $ra [$i] ); $j ++) {

                if ($j > 0) {

                    $pattern .= '(';

                    $pattern .= '(&#[xX]0{0,8}([9ab]);)';

                    $pattern .= '|';

                    $pattern .= '|(�{0,8}([9|10|13]);)';

                    $pattern .= ')*';

                }

                $pattern .= $ra [$i] [$j];

            }

            $pattern .= '/i';

            $replacement = substr ( $ra [$i], 0, 2 ) . ' ' . substr ( $ra [$i], 2 );

            $val = preg_replace ( $pattern, $replacement, $val );

            if ($val_before == $val) {

                $found = false;

            }

        }

    }

    return $val;

}

  

php安全字段和防止XSS跨站脚本攻击过滤函数的更多相关文章

  1. PHP进行安全字段和防止XSS跨站脚本攻击过滤(通用版)

    废话不多说,直接贴使用方法和代码: 使用方式:1)写在公共方法里面,随时调用即可.2)写入类文件,使用是include_once 即可 代码: /* 进行安全字段和xss跨站脚本攻击过滤(通用版) - ...

  2. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  3. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  4. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)

    转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...

  5. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  6. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  7. PHP漏洞全解(四)-xss跨站脚本攻击

    本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

  8. JAVA覆写Request过滤XSS跨站脚本攻击

    注:本文非本人原著. demo的地址:链接:http://pan.baidu.com/s/1miEmHMo 密码:k5ca 如何过滤Xss跨站脚本攻击,我想,Xss跨站脚本攻击令人为之头疼.为什么呢. ...

  9. xss跨站脚本攻击及xss漏洞防范

    xss跨站脚本攻击(Cross Site Scripting,因与css样式表相似故缩写为XSS).恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Scrip ...

随机推荐

  1. docker 网络设置概述

    docker有3种网络: 使用命令docker network ls,执行结果如下. NETWORK ID NAME DRIVER SCOPE 82e8822065c7 bridge bridge l ...

  2. manjaro安装后的配置

    1.添加中科大源 参考https://blog.csdn.net/liyunfu233/article/details/87381017 sudo nano /etc/pacman.conf 在文末添 ...

  3. python操作队列

    进行队列的操作,首先要引入queue这个库 一:设置队列(括号中是队列可容纳数据的多少,如果不设置,则可以一直增加) import queue q = queue.Queue(10) 二:添加/获取元 ...

  4. es6 Iterator和for...of循环

    javascript表示集合的数据结构有 es5: array object es6: map set, 一共4种数据集合 需要一种统一的接口机制来处理所有不同的数据结构 遍历器就是这样一种机制,它是 ...

  5. Codeforces Round #598 (Div. 3) E. Yet Another Division Into Teams dp

    E. Yet Another Division Into Teams There are n students at your university. The programming skill of ...

  6. OpenDaylight开发hello-world项目之功能实现

    OpenDaylight开发hello-world项目之开发环境搭建 OpenDaylight开发hello-world项目之开发工具安装 OpenDaylight开发hello-world项目之代码 ...

  7. hashlib和hmac模块

    目录 一.hashlib模块 1.0.1 hash是什么 1.0.2 撞库破解hash算法加密 一.hashlib模块 1.0.1 hash是什么 hash是一种算法(Python3.版本里使用has ...

  8. win7 架设php环境运行H5游戏的坑坑坑坑

    解决办法: 修改php.ini  文件 session.save_path = "D:/H5_Game" 指向所用的根目录 环境 windows7 x64  + php7.0.8

  9. centos安装nginx并配置SSL证书

    安装nginx的命令 sudo yum install epel-release sudo yum install nginx 让nginx随系统启动而启动 sudo systemctl enable ...

  10. html公用头部和尾部

    这个方式比较简单,样式和js也有效果,还有object和iframe方式 效果图,可以看出公共的样式对于引入的文件也有效果,在加载完文件后js也是有效果的 index.html header.html ...