PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。

htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

(1).网页不停地刷新 '<meta http-equiv="refresh" content="0;">'

(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>  除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的.

  1. <?php
  2. //php防注入和XSS攻击通用过滤
  3. $_GET     && SafeFilter($_GET);
  4. $_POST    && SafeFilter($_POST);
  5. $_COOKIE  && SafeFilter($_COOKIE);
  6.  
  7. function SafeFilter (&$arr)
  8. {
  9.    $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'
  10.    ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'
  11.    ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',
  12.    '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'
  13.    ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
  14.  
  15.    if (is_array($arr))
  16.    {
  17.      foreach ($arr as $key => $value)
  18.      {
  19.         if (!is_array($value))
  20.         {
  21.           if (!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
  22.           {
  23.              $value  = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
  24.              加上反斜线转义
  25.           }
  26.           $value       = preg_replace($ra,'',$value);     //删除非打印字符,粗暴式过滤xss可疑字符串
  27.           $arr[$key]     = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
  28.         }
  29.         else
  30.         {
  31.           SafeFilter($arr[$key]);
  32.         }
  33.      }
  34.    }
  35. }
  36. ?>
  37. $str = 'www.90boke.com<meta http-equiv="refresh" content="0;">';
  38. SafeFilter ($str); //如果你把这个注释掉,提交之后就会无休止刷新
  39. echo $str;
  1. //------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------//
  2. function string_remove_xss($html) {
  3.     preg_match_all("/\<([^\<]+)\>/is", $html, $ms);
  4.  
  5.     $searchs[] = '<';
  6.     $replaces[] = '&lt;';
  7.     $searchs[] = '>';
  8.     $replaces[] = '&gt;';
  9.  
  10.     if ($ms[]) {
  11.         $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
  12.         $ms[] = array_unique($ms[]);
  13.         foreach ($ms[] as $value) {
  14.             $searchs[] = "&lt;".$value."&gt;";
  15.  
  16.             $value = str_replace('&amp;', '_uch_tmp_str_', $value);
  17.             $value = string_htmlspecialchars($value);
  18.             $value = str_replace('_uch_tmp_str_', '&amp;', $value);
  19.  
  20.             $value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
  21.             $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
  22.                     'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
  23.                     'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
  24.                     'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
  25.                     'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
  26.                     'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
  27.                     'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
  28.                     'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
  29.                     'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
  30.             $skipstr = implode('|', $skipkeys);
  31.             $value = preg_replace(array("/($skipstr)/i"), '.', $value);
  32.             if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
  33.                 $value = '';
  34.             }
  35.             $replaces[] = empty($value) ? '' : "<" . str_replace('&quot;', '"', $value) . ">";
  36.         }
  37.     }
  38.     $html = str_replace($searchs, $replaces, $html);
  39.  
  40.     return $html;
  41. }
  42. //php防注入和XSS攻击通用过滤
  43. function string_htmlspecialchars($string, $flags = null) {
  44.     if (is_array($string)) {
  45.         foreach ($string as $key => $val) {
  46.             $string[$key] = string_htmlspecialchars($val, $flags);
  47.         }
  48.     } else {
  49.         if ($flags === null) {
  50.             $string = str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string);
  51.             if (strpos($string, '&amp;#') !== false) {
  52.                 $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
  53.             }
  54.         } else {
  55.             if (PHP_VERSION < '5.4.0') {
  56.                 $string = htmlspecialchars($string, $flags);
  57.             } else {
  58.                 if (!defined('CHARSET') || (strtolower(CHARSET) == 'utf-8')) {
  59.                     $charset = 'UTF-8';
  60.                 } else {
  61.                     $charset = 'ISO-8859-1';
  62.                 }
  63.                 $string = htmlspecialchars($string, $flags, $charset);
  64.             }
  65.         }
  66.     }
  67.  
  68.     return $string;
  69. }
  70.  
  71. //------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

  1. -----------------------------------------------------
  2.  session.cookie_httponly =
  3. -----------------------------------------------------

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

  1. <?php ini_set("session.cookie_httponly", 1);
  2. // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
  3. ?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

  1. <?php
  2. setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
  3. setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
  4. ?>

老版本的PHP就不说了。没企业用了吧。

PHP如何防止XSS攻击的更多相关文章

  1. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  2. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  3. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  4. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  5. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

  6. XSS攻击

    什么是XSS? http://www.cnblogs.com/bangerlee/archive/2013/04/06/3002142.html XSS攻击及防御? http://blog.csdn. ...

  7. 文本XSS攻击过滤

    在FCK或百度编辑器等常用富文本编辑器中,通常是会被XSS攻击 处理方法: 文本框模拟输入了以下文本 <span style="dispaly:none" onclick=& ...

  8. XSS攻击的解决方法

    在我上一篇<前端安全之XSS攻击>文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今 ...

  9. 前端安全之XSS攻击

    XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”.有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射 ...

  10. textarea与XSS攻击

    textarea用法 一般是用来接收用户输入,用于提交到服务器端,例如 网站的评论框. 如果此框也用于显示服务器端回传的内容,则有如下两种用法 法1 后台直接插入 <textarea>&l ...

随机推荐

  1. CSS深入理解学习笔记之float

    1.float的历史 float设计的初衷仅仅是为了文字环绕效果. 示例代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transit ...

  2. linkinFrame--用maven搭项目结构

    OK,老早想写一套自己的web框架,然后也一直在看开源的一些框架源码.今天开始正式开始写自己的javaWeb框架,暂时就定义linkinFrame好了. 为什么要写一套自己的框架? 其实这是一个比较矛 ...

  3. CSS--使用方式

    创建CSS有三种方式: 外部样式表, 内部样式表和内联样式. 外部样式表 先建立外部样式表文件(.css),然后在网页文件的<head>内使用<link>链接.这种方式将样式文 ...

  4. GDB 的使用

    gdb使用: 1.编译时必须加-g选项,生成调试需要的信息.如 g++    xxx.cpp   -o   xxx    -g 2.调试最好结合core文件 3.调试命令:gdb   xxx    x ...

  5. matlab文件读写处理实例(一)——不规则文件读取

    数据: A) Title: Income Data B) Relevant Information: Marketing Database. Source: Impact Resources, Inc ...

  6. 解决spring-boot启动中碰到的问题:Cannot determine embedded database driver class for database type NONE

    问题 如下: 2017-07-16 08:50:57.436  INFO 13524 --- [           main] c.p.p.web.PointshopWebApplication   ...

  7. HTML核心标签之表格标签(二)

    基本用法: <ul type="cir"> <li>显示数据</li> <li>显示数据</li> </ul> ...

  8. python的logging模块

    python提供了一个日志处理的模块,那就是logging 导入logging模块使用以下命令: import logging logging模块的用法: 1.简单的将日志打印到屏幕上 import ...

  9. vue打包后不使用服务器直接访问方法

    根据官网打包执行npm run build 后dist文件夹打开的index.html 是空白 需要开启http服务器才能访问,以下是解决办法 1.找到config文件夹下的index文件 修改成 2 ...

  10. Oracle 12cR1 RAC 在VMware Workstation上安装(中)—图形界面安装

    Oracle 12cR1 RAC 在VMware Workstation上安装(中)—图形界面安装 1.1  图形界面安装 1.1.1  安装GRID 安装日志:/u01/app/oraInvento ...