php xss 攻击防范代码
例子
最简单的方法利用php自带的htmlspecialchars函数 将字符内容转化为html实体
代码如下 | 复制代码 |
<?php |
例子
对 htmlspecialchars 函数的封装的同时还替换一些己知可能有危险的字符
代码如下 | 复制代码 |
/** //www.111cn.net下面是从CI里拿过来的 |
这里提供一个过滤非法脚本的函数:
代码如下 | 复制代码 |
function RemoveXSS($val) { // straight replacements, the user should never need these since they're normal characters // @ @ search for the hex values // now the only www.111Cn.net remaining whitespace attacks are , , and $found = true; // keep replacing as long as the previous round replaced something |
最后面这个函数主要是用到了国外一些高手写了,对己知危险的函数知道的更多了,所以我们把它全放进去然后进行替换操作了。
还有一点一聚教程小编得提醒你的是有些朋友使用htmlentities()来过滤了,这个函数默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行哦,所以得想办法解决呀。
PHPStorm是一款比我们常用的dw更为强大的代码可自动补全的php ide了,它具有超强的理解用户的编码并自动初全哦,下面来看它的配置方法。
PHPStorm的配置分为2大类:项目配置和IDE配置。
项目配置(设置),主要是配置具体项目。
IDE 配置(设置),通用的设置会应用到所有的项目上。
项目配置
每个项目的配置存储在项目所在目录的 .idea 文件夹中,并以XML格式保存配置。如果你设置的是 “default project settings 默认项目设置”,那么这个默认设置将会自动应用到下一个最新创建的项目上。
IDE 配置
IDE 配置存储在PHPStorm指定的独立文件夹中,各个平台不同,配置的文件夹存放位置也不同。存放目录由PHPStorm名称和版本组成。
例如:
Windows
代码如下 | 复制代码 |
<User home>.WebIdeXXconfig 存放用户指定的设置。 |
Linux
代码如下 | 复制代码 |
~/.WebIdeXX/config 存放用户指定的设置www.111cn.net。 ~/.WebIdeXX/system 存放PHPStorm 缓存文件。 |
Mac OS
代码如下 | 复制代码 |
~/Library/Application Support/WebIdeXX 存放PHPStorm插件。 ~/Library/Preferences/WebIdeXX 存放PHPStorm配置文件。 ~/Library/Caches/WebIdeXX 存放PHPStorm缓存,历史记录等。 ~/Library/Logs/WebIdeXX 存放PHPStorm日志。 |
配置目录下存在多个子目录,并且都以XML的文件形式来存放配置。你可以分享这些XML配置文件给别人,例如快捷键配置,颜色方案等等,只需将这些XML文件拷贝到PHPStorm安装的具体目录,覆盖之前请确保Phpstorm是关闭的,不然很可能被正在运行的PhpStorm配置时覆盖。从而达不到效果。
下面这个列表包含了配置文件夹下的子文件夹的意义。
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips
1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引号过滤必须要重点注意
7. 除去不必要的 HTML 注释
8. Exploer 求你放过我吧……
方法一,利用php htmlentities函数
例子
php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
方法二,什么也不多说我们给一个函数
例子
代码如下 | 复制代码 |
function xss_clean($data){ |
运行php的环境很多,windows下有 apache+php+mysql 和 iis+php+mysql,linux下有 apache+php+mysql 。后者别无选择,前者就多了。
我们平时的学习和工作大多还是用的windows系统,当配置环境时,网上一搜,php集成环境一大片。那么使用php集成环境好吗?是应该使用集成环境呢还是一步步亲自安装原生态的好呢?
下面以我个人经验分析一下它们的区别。
学习性上:
安装原生版的可以让你学习怎么配置apache+php+mysql 或 iis+php+mysql,这样也能让你更了解它们的工作原理,以至于后期能熟悉的配置出自己所需的个性化环境。集成环境的话,什么都帮你做好了,即使用过很久后,也不太知道底层的工作原理,一旦出现问题,你还是会不知所措。
稳定性上:
我记得刚开始学习php的时候,总觉得安装php环境很难,不是这里没到位就是那里弄错了。然后就百度一下,php集成环境。我用过WampServer和APMServ,刚开始觉得还好,用久了发现总是容易出问题,特别是APMServ,经常遇到mysql无法启动的情况。后来,工作的需要,便学着去安装php原生态的环境,学会了才发现,其实安装很简单,网上一搜,图文教程一大把,所以安装起来并不难,而且一次学习、学会,终生受益,何乐而不为呢?从这以后我就一直在用,从未出现问题过,而且经常会去根据需求改一些配置,现在对一些基本的东西已经非常熟悉了。
所以,我个人之见,如果是满足一时之需的话,比如在别人电脑上为了快捷可以去安装php集成环境,如果是自己学习和工作,那么尽量尝试配置原生版的。
网站给机器发重复内容重复注册己经不是什么希事了,我们只要有注册页面或者是评论页面就会有这种问题出现了,下面我找了两个例子大家一起看看。
网站开放注册的时候有一些渣渣就喜欢乱搞我们的网站。使我们站长们 都是蛋疼无比。所以就去百度找了找防止恶意注册。一般都是加验证码。但是会网页的人一般都是在你的要提交的那个页面利用url传参数。在写入数据的文件没有写好 就很容易被利用了! 所以我得出了2个解决方法
例子、
1.在提交的时候获取客户端IP 在IP第二次访问或者第三次提交数据的时候视为恶意提交
2.使用session访问2次或者3次 视为恶意注册
以下是代码:
代码如下 | 复制代码 |
<?php |
当然这个办法也不是很好的。但是目前就感觉这个比较好了
例子、
比较高级的办法RSA算法进行加密通讯 .
avascript部分代码(with jQuery)
代码如下 | 复制代码 |
$(document).ready(function(){
|
PHP部分代码
代码如下 | 复制代码 |
/**
|
其中密钥的获取是关键(其他难点已经被从代码中解决)
相关文章
- 有一种方法,可以不打开网站而直接查看到这个网站的源代码.. 这样可以有效地防止误入恶意网站... 在浏览器地址栏输入: view-source:http://...2016-09-20
- <?php require('path.inc.php'); header('content-Type: text/html; charset=utf-8'); $borough_id = intval($_GET['id']); if(!$borough_id){ echo ' ...2016-11-25
- 本文实例讲述了JS基于Mootools实现的个性菜单效果代码。分享给大家供大家参考,具体如下:这里演示基于Mootools做的带动画的垂直型菜单,是一个初学者写的,用来学习Mootools的使用有帮助,下载时请注意要将外部引用的mootools...2015-10-23
- 本文实例讲述了JS+CSS实现分类动态选择及移动功能效果代码。分享给大家供大家参考,具体如下:这是一个类似选项卡功能的选择插件,与普通的TAb区别是加入了动画效果,多用于商品类网站,用作商品分类功能,不过其它网站也可以用,...2015-10-21
- 本文实例讲述了JS实现自定义简单网页软键盘效果。分享给大家供大家参考,具体如下:这是一款自定义的简单点的网页软键盘,没有使用任何控件,仅是为了练习JavaScript编写水平,安全性方面没有过多考虑,有顾虑的可以不用,目的是学...2015-11-08
- php 取除连续空格与换行代码,这些我们都用到str_replace与正则函数 第一种: $content=str_replace("n","",$content); echo $content; 第二种: $content=preg_replac...2016-11-25
- php简单用户登陆程序代码 这些教程很对初学者来讲是很有用的哦,这款就下面这一点点代码了哦。 <center> <p> </p> <p> </p> <form name="form1...2016-11-25
- 公司一些wordpress网站由于下载的插件存在恶意代码,导致整个服务器所有网站PHP文件都存在恶意代码,就写了个简单的脚本清除。恶意代码示例...2015-10-23
- 其实挺简单的就是if(navigator.userAgent.indexOf('UCBrowser') > -1) {alert("uc浏览器");}else{//不是uc浏览器执行的操作}如果想测试某个浏览器的特征可以通过如下方法获取JS获取浏览器信息 浏览器代码名称:navigator...2015-11-08
- 本文实例讲述了JS实现双击屏幕滚动效果代码。分享给大家供大家参考,具体如下:这里演示双击滚屏效果代码的实现方法,不知道有觉得有用处的没,现在网上还有很多还在用这个特效的呢,代码分享给大家吧。运行效果截图如下:在线演...2015-10-30
- 一、日期减去天数等于第二个日期function cc(dd,dadd){//可以加上错误处理var a = new Date(dd)a = a.valueOf()a = a - dadd * 24 * 60 * 60 * 1000a = new Date(a)alert(a.getFullYear() + "年" + (a.getMonth() +...2015-11-08
- 微信支付,即便交了保证金,你还是处理测试阶段,不能正式发布。必须到你通过程序测试提交订单、发货通知等数据到微信的系统中,才能申请发布。然后,因为在微信中是通过JS方式调用API,必须在微信后台设置支付授权目录,而且要到...2014-05-31
- 本文实例讲述了PHP常用的小程序代码段。分享给大家供大家参考,具体如下:1.计算两个时间的相差几天$startdate=strtotime("2009-12-09");$enddate=strtotime("2009-12-05");上面的php时间日期函数strtotime已经把字符串...2015-11-24
- 小编分享了一段简单的php中文转拼音的实现代码,代码简单易懂,适合初学php的同学参考学习。 代码如下 复制代码 <?phpfunction Pinyin($_String...2017-07-06
php导出csv格式数据并将数字转换成文本的思路以及代码分享
php导出csv格式数据实现:先定义一个字符串 存储内容,例如 $exportdata = '规则111,规则222,审222,规222,服2222,规则1,规则2,规则3,匹配字符,设置时间,有效期'."/n";然后对需要保存csv的数组进行foreach循环,例如复制代...2014-06-07- ecshop商品无限级分类代码 function cat_options($spec_cat_id, $arr) { static $cat_options = array(); if (isset($cat_options[$spec_cat_id]))...2016-11-25
- 本文介绍了如何延迟javascript代码的加载,加快网页的访问速度。 当一个网站有很多js代码要加载,js代码放置的位置在一定程度上将会影像网页的加载速度,为了让我们的网页加载速度更快,本文总结了一下几个注意点...2013-10-13
- 这篇文章主要介绍了vue项目,代码提交至码云,iconfont的用法说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧...2020-07-30
- 这篇文章主要介绍了IDEA插件之快速删除Java代码中的注释,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下...2021-02-18
- 复制代码 代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title...2013-10-13