php预防XSS攻击的一些方法整理
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips
1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引号过滤必须要重点注意
7. 除去不必要的 HTML 注释
8. Exploer 求你放过我吧……
方法一,利用php htmlentities函数
例子
php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
方法二,什么也不多说我们给一个函数
例子
代码如下 | 复制代码 |
function xss_clean($data){ |
例子
最简单的方法利用php自带的htmlspecialchars函数 将字符内容转化为html实体
代码如下 | 复制代码 |
<?php |
例子
对 htmlspecialchars 函数的封装的同时还替换一些己知可能有危险的字符
代码如下 | 复制代码 |
/** //www.111cn.net下面是从CI里拿过来的 |
这里提供一个过滤非法脚本的函数:
代码如下 | 复制代码 |
function RemoveXSS($val) { // straight replacements, the user should never need these since they're normal characters // @ @ search for the hex values // now the only www.111Cn.net remaining whitespace attacks are , , and $found = true; // keep replacing as long as the previous round replaced something |
最后面这个函数主要是用到了国外一些高手写了,对己知危险的函数知道的更多了,所以我们把它全放进去然后进行替换操作了。
还有一点一聚教程小编得提醒你的是有些朋友使用htmlentities()来过滤了,这个函数默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行哦,所以得想办法解决呀。
大家都知道,运行动态网页,是需要相关的环境支持才行,所以不管你是学习php,还是做php的工作,都必须要安装php运行环境。
运行php的环境很多,windows下有 apache+php+mysql 和 iis+php+mysql,linux下有 apache+php+mysql 。后者别无选择,前者就多了。
我们平时的学习和工作大多还是用的windows系统,当配置环境时,网上一搜,php集成环境一大片。那么使用php集成环境好吗?是应该使用集成环境呢还是一步步亲自安装原生态的好呢?
下面以我个人经验分析一下它们的区别。
学习性上:
安装原生版的可以让你学习怎么配置apache+php+mysql 或 iis+php+mysql,这样也能让你更了解它们的工作原理,以至于后期能熟悉的配置出自己所需的个性化环境。集成环境的话,什么都帮你做好了,即使用过很久后,也不太知道底层的工作原理,一旦出现问题,你还是会不知所措。
稳定性上:
我记得刚开始学习php的时候,总觉得安装php环境很难,不是这里没到位就是那里弄错了。然后就百度一下,php集成环境。我用过WampServer和APMServ,刚开始觉得还好,用久了发现总是容易出问题,特别是APMServ,经常遇到mysql无法启动的情况。后来,工作的需要,便学着去安装php原生态的环境,学会了才发现,其实安装很简单,网上一搜,图文教程一大把,所以安装起来并不难,而且一次学习、学会,终生受益,何乐而不为呢?从这以后我就一直在用,从未出现问题过,而且经常会去根据需求改一些配置,现在对一些基本的东西已经非常熟悉了。
所以,我个人之见,如果是满足一时之需的话,比如在别人电脑上为了快捷可以去安装php集成环境,如果是自己学习和工作,那么尽量尝试配置原生版的。
网站给机器发重复内容重复注册己经不是什么希事了,我们只要有注册页面或者是评论页面就会有这种问题出现了,下面我找了两个例子大家一起看看。
网站开放注册的时候有一些渣渣就喜欢乱搞我们的网站。使我们站长们 都是蛋疼无比。所以就去百度找了找防止恶意注册。一般都是加验证码。但是会网页的人一般都是在你的要提交的那个页面利用url传参数。在写入数据的文件没有写好 就很容易被利用了! 所以我得出了2个解决方法
例子、
1.在提交的时候获取客户端IP 在IP第二次访问或者第三次提交数据的时候视为恶意提交
2.使用session访问2次或者3次 视为恶意注册
以下是代码:
代码如下 | 复制代码 |
<?php |
当然这个办法也不是很好的。但是目前就感觉这个比较好了
例子、
比较高级的办法RSA算法进行加密通讯 .
avascript部分代码(with jQuery)
代码如下 | 复制代码 |
$(document).ready(function(){
|
PHP部分代码
代码如下 | 复制代码 |
/**
|
其中密钥的获取是关键(其他难点已经被从代码中解决)
下面来给大家分享两个关于php威盾解密的例子,一个是批量解密一个是超级算法的解密都非常的好,大家有举的进入参考。例子,批量解密
代码如下 | 复制代码 |
<?php //decode("Image.class.php"); function explorerdir($dir) //echo "-".$path."n"; //输出文件名 echo decode($path); } } function decode($filename="") if(pathinfo($filename, PATHINFO_EXTENSION)!="php" || strpos($filename,".bak.php") || realpath($filename) == __FILE__ ){return;} //$filename="intro.class.php";//要解密的文件 if(!file_exists($filename)) } $lines = file($filename);//0,1,2行 //第一次base64解密 } //直接还原密文输出 if(!file_exists($filenamebak)){ if(rename($filename,$filenamebak)) if(!file_exists($filename) && file_exists($filenamebak))//文件被更改成功 $fp = fopen($filename,"w"); } } }else{ //return("备份文件".$filenamebak."已存在,停止解密。"); } } function weidun_log($s = true,$c ="") if($s) } |
例子,一个强人的加密做法
代码如下 | 复制代码 |
<?php |
相关文章
php 中file_get_contents超时问题的解决方法
file_get_contents超时我知道最多的原因就是你机器访问远程机器过慢,导致php脚本超时了,但也有其它很多原因,下面我来总结file_get_contents超时问题的解决方法总结。...2016-11-25- 这篇文章主要介绍了Bootstrap Table使用整理(二)的相关资料,需要的朋友可以参考下...2017-06-15
- 相信很多站长都遇到过这样一个问题,访问页面时出现408错误,下面一聚教程网将为大家介绍408错误出现的原因以及408错误的解决办法。 HTTP 408错误出现原因: HTT...2017-01-22
- php如何实现抓取网页图片,相较于手动的粘贴复制,使用小程序要方便快捷多了,喜欢编程的人总会喜欢制作一些简单有用的小软件,最近就参考了网上一个php抓取图片代码,封装了一个php远程抓取图片的类,测试了一下,效果还不错分享...2015-10-30
- 下面我们来看一篇关于Android子控件超出父控件的范围显示出来方法,希望这篇文章能够帮助到各位朋友,有碰到此问题的朋友可以进来看看哦。 <RelativeLayout xmlns:an...2016-10-02
- ps软件是现在非常受大家喜欢的一款软件,有着非常不错的使用功能。这次文章就给大家介绍下ps把文字背景变透明的操作方法,喜欢的一起来看看。 1、使用Photoshop软件...2017-07-06
intellij idea快速查看当前类中的所有方法(推荐)
这篇文章主要介绍了intellij idea快速查看当前类中的所有方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下...2020-09-02- 1.在没有设置默认值的情况下: 复制代码 代码如下:SELECT userinfo.id, user_name, role, adm_regionid, region_name , create_timeFROM userinfoLEFT JOIN region ON userinfo.adm_regionid = region.id 结果:...2014-05-31
js导出table数据到excel即导出为EXCEL文档的方法
复制代码 代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta ht...2013-10-13- 批量更新mysql更新语句很简单,更新一条数据的某个字段,一般这样写:复制代码 代码如下:UPDATE mytable SET myfield = 'value' WHERE other_field = 'other_value';如果更新同一字段为同一个值,mysql也很简单,修改下where即...2013-10-04
- 本文涉及的主题虽然很基础,在许多人看来属于小伎俩,但在JavaScript基础知识中属于一个综合性的话题。这里会涉及到对象属性的封装、原型、构造函数、闭包以及立即执行表达式等知识。公有方法 公有方法就是能被外部访问...2015-11-08
- ps软件是一款非常不错的图片处理软件,有着非常不错的使用效果。这次文章要给大家介绍的是ps怎么制作倒影,一起来看看设计倒影的方法。 用ps怎么做倒影最终效果̳...2017-07-06
- 最近想自学PHP ,做了个验证码,但不知道怎么搞的,总出现一个如下图的小红叉,但验证码就是显示不出来,原因如下 未修改之前,出现如下错误; (1)修改步骤如下,原因如下,原因是apache权限没开, (2)点击打开php.int., 搜索extension=ph...2013-10-04
- 单个字符分割 string s="abcdeabcdeabcde"; string[] sArray=s.Split('c'); foreach(string i in sArray) Console.WriteLine(i.ToString()); 输出下面的结果: ab de...2020-06-25
安卓手机wifi打不开修复教程,安卓手机wifi打不开解决方法
手机wifi打不开?让小编来告诉你如何解决。还不知道的朋友快来看看。 手机wifi是现在生活中最常用的手机功能,但是遇到手机wifi打不开的情况该怎么办呢?如果手机wifi...2016-12-21- javascript控制页面控件隐藏显示的两种方法,方法的不同之处在于控件隐藏后是否还在页面上占位 方法一: 复制代码 代码如下: document.all["panelsms"].style.visibility="hidden"; document.all["panelsms"].style.visi...2013-10-13
连接MySql速度慢的解决方法(skip-name-resolve)
最近在Linux服务器上安装MySql5后,本地使用客户端连MySql速度超慢,本地程序连接也超慢。 解决方法:在配置文件my.cnf的[mysqld]下加入skip-name-resolve。原因是默认安装的MySql开启了DNS的反向解析。如果禁用的话就不能...2015-10-21- 本篇文章是对C#方法进行了详细的总结与介绍,需要的朋友参考下...2020-06-25
- 步骤:Window -> PHP -> Editor -> Templates,这里可以设置(增、删、改、导入等)管理你的模板。新建文件注释、函数注释、代码块等模板的实例新建模板,分别输入Name、Description、Patterna)文件注释Name: 3cfileDescriptio...2013-10-04
- EXCEL数据上传到SQL SERVER中的方法需要注意到三点!注意点一:要把EXCEL数据上传到SQL SERVER中必须提前把EXCEL传到服务器上.做法: 在ASP.NET环境中,添加一个FileUpload上传控件后台代码的E.X: 复制代码 代码如下: if...2013-09-23