Home  >  Article  >  php教程  >  php预防XSS攻击的一些方法整理

php预防XSS攻击的一些方法整理

WBOY
WBOYOriginal
2016-05-25 16:41:261219browse

现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,摘自某开发框架,相比于仅仅使用内置函数应该还是够强了的吧.

对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全.

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips.

1. 假定所有的用户输入数据都是"邪恶"的 

2. 弱类型的脚本语言必须保证类型和期望的一致 

3. 考虑周全的正则表达式 

4. strip_tags、htmlspecialchars 这类函数很好用 

5. 外部的 Javascript 不一定就是可靠的 

6. 引号过滤必须要重点注意 

7. 除去不必要的 HTML 注释 

8. Exploer 求你放过我吧……

方法一,利用php htmlentities函数

例子:php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数.

在使用htmlspecialchars()函数的时候注意第二个参数,直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号("),不对单引号(')做转义.

所以,htmlspecialchars函数更多的时候要加上第二个参数,应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).

另外,尽量少用htmlentities,在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下,htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了.

htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.

所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312).

方法二,什么也不多说我们给一个函数,代码如下:

function xss_clean($data){ 
 // Fix &entity\n; 
 $data=str_replace(array(&#39;&&#39;,&#39;<&#39;,&#39;>&#39;),array(&#39;&amp;&#39;,&#39;&lt;&#39;,&#39;&gt;&#39;),$data); 
 $data=preg_replace(&#39;/(&#*\w+)[\x00-\x20]+;/u&#39;,&#39;$1;&#39;,$data); 
 $data=preg_replace(&#39;/(&#x*[0-9A-F]+);*/iu&#39;,&#39;$1;&#39;,$data); 
 $data=html_entity_decode($data,ENT_COMPAT,&#39;UTF-8&#39;); 
 // Remove any attribute starting with "on" or xmlns 
 $data=preg_replace(&#39;#(<[^>]+?[\x00-\x20"\&#39;])(?:on|xmlns)[^>]*+>#iu&#39;,&#39;$1>&#39;,$data); 
 // Remove javascript: and vbscript: protocols 
 $data=preg_replace(&#39;#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\&#39;"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu&#39;,&#39;$1=$2nojavascript...&#39;,$data); 
 $data=preg_replace(&#39;#([a-z]*)[\x00-\x20]*=([\&#39;"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu&#39;,&#39;$1=$2novbscript...&#39;,$data); 
 $data=preg_replace(&#39;#([a-z]*)[\x00-\x20]*=([\&#39;"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u&#39;,&#39;$1=$2nomozbinding...&#39;,$data); 
 // Only works in IE: <span style="width: expression(alert(&#39;Ping!&#39;));"></span> 
 $data=preg_replace(&#39;#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\&#39;"]*.*?expression[\x00-\x20]*\([^>]*+>#i&#39;,&#39;$1>&#39;,$data); 
 $data=preg_replace(&#39;#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\&#39;"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i&#39;,&#39;$1>&#39;,$data); 
 $data=preg_replace(&#39;#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\&#39;"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu&#39;,&#39;$1>&#39;,$data); 
 // Remove namespaced elements (we do not need them) 
 $data=preg_replace(&#39;#</*\w+:\w[^>]*+>#i&#39;,&#39;&#39;,$data); 
 do{// Remove really unwanted tags 
  $old_data=$data; 
  $data=preg_replace(&#39;#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i&#39;,&#39;&#39;,$data); 
 }while($old_data!==$data); 
 // we are done... 
 return $data; 
}


本文地址:

转载随意,但请附上文章地址:-)

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn