XSS杀手-php手册-php.cn

Home

php教程

php手册

XSS杀手

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 07:35 PM

xssstringwhitelistfilterconduct

根据白名单对字符串进行过滤。如果字符串包含白名单意外的html标签，或者白名单允许的标签但属性不在白名单内，则这些部分会被过滤掉。无 ?php/** * Prevent XSS. * * @author liuxd */class XssFilter{ /** * 设置标签和属性的白名单。 * @param array $p_a

根据白名单对字符串进行过滤。如果字符串包含白名单意外的html标签，或者白名单允许的标签但属性不在白名单内，则这些部分会被过滤掉。

<?php
/**
 * Prevent XSS.
 *
 * @author liuxd
 */
class XssFilter
{
    /**
     * 设置标签和属性的白名单。
     * @param array $p_aTags
     * @param array $p_aAttr
     */
    public function __construct($p_aTags, $p_aAttr)
    {
        $this->aTags = $p_aTags;
        $this->aAttr = $p_aAttr;
    }
 
    /**
     * 过滤器。
     * @param string $p_sInput
     * @return string
     */
    public function filter($p_sInput)
    {
        $aMatches = [];
        $sPattern = '/<([a-zA-Z]+).*>.*<\/\1>/';
        preg_match_all($sPattern, $p_sInput, $aMatches);
        $sInput = $p_sInput;
 
        if (empty($aMatches[1])) {
            return $sInput;
        }
 
        list ($aContents, $aTags) = $aMatches;
 
        foreach ($aTags as $iKey => $sTag) {
            if (!in_array($sTag, $this->aTags)) {
                // 标签不合法
                $sInput = str_replace($aContents[$iKey], '', $sInput);
            } else {
                $aTag = [];
                preg_match('/<' . $sTag . '.*?>/', $aContents[$iKey], $aTag);
                $aAttr = explode(' ', $aTag[0]);
 
                if (!$this->checkAttr($aAttr)) {
                    // 标签虽然合法，但是包含了不合法的属性。
                    $sInput = str_replace($aContents[$iKey], '', $sInput);
                }
            }
        }
 
        return trim($sInput);
    }
 
    /**
     * 检查合法标签是否有非法属性。
     * @param array $p_aAttr 标签熟悉列表
     * @return bool
     */
    private function checkAttr($p_aAttr)
    {
        $bResult = true;
 
        foreach ($p_aAttr as $sAttr) {
            $sAttrName = strstr($sAttr, '=', true);
 
            if ($sAttrName === false) {
                continue;
            }
 
            if (!in_array($sAttrName, $this->aAttr)) {
                $bResult = false;
            }
        }
 
        return $bResult;
    }
 
}
 
# end of this file

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

如何设置win10白名单Dec 25, 2023 pm 09:58 PM

win10白名单是win10自带杀毒防护安全管理软件WindowsDefender的一个功能，可以让用户把自己被疑似报毒的软件，安全保护起来不会被隔离或者删除操作，下面来看看详细的设置教程吧。win10白名单设置在哪答：在“系统设置”的“Windows安全中心”里，具体操作方式如下：第一步：点击Windows图标——点击设置。第二步：Windows设置——点击更新和安全。第三步：在Windows安全中心中——点击打开Windows安全中心。第四步：安全中心中——病毒和威胁防护——下拉点击管理设置

php怎么将16进制字符串转为数字Oct 26, 2021 pm 06:36 PM

php将16进制字符串转为数字的方法：1、使用hexdec()函数，语法“hexdec(十六进制字符串)”；2、使用base_convert()函数，语法“bindec(十六进制字符串, 16, 10)”。

golang怎么检测变量是否为字符串Jan 06, 2023 pm 12:41 PM

检测变量是否为字符串的方法：1、利用“%T”格式化标识，语法“fmt.Printf("variable count=%v is of type %T \n", count, count)”；2、利用reflect.TypeOf()，语法“reflect.TypeOf(变量)”；3、利用reflect.ValueOf().Kind()检测；4、使用类型断言，可以对类型进行分组。

Win10防火墙白名单怎么设置？Win10加上防火墙白名单Jul 14, 2023 pm 03:18 PM

win10内置的防火墙作用可以为大家阻拦一些恶意程序的进攻，可是偶尔也会发生被防火墙给阻拦而不能一切正常安装程序的状况。如果我们可以明确此软件的安全系数和安裝的重要性，那么就可以根据给防火墙加上白名单的方法来容许安裝。1、应用win键开启win10系统软件菜单栏对话框，在菜单栏对话框左边点击打开“设置”对话框。2、在开启的Windows设定对话框中可以寻找“更新和安全”这一项，点击打开它。3、进到升级和安全策略页面后点击左边工具栏中的“Windows安全管家”下级菜单。4、随后在右边的具体内容中

Laravel中的跨站脚本攻击（XSS）和跨站请求伪造（CSRF）防护Aug 13, 2023 pm 04:43 PM

Laravel中的跨站脚本攻击（XSS）和跨站请求伪造（CSRF）防护随着互联网的发展，网络安全问题也变得越来越严峻。其中，跨站脚本攻击（Cross-SiteScripting，XSS）和跨站请求伪造（Cross-SiteRequestForgery，CSRF）是最为常见的攻击手段之一。Laravel作为一款流行的PHP开发框架，为用户提供了多种安全机

php怎么将字符串转为布尔类型Jul 01, 2021 pm 06:36 PM

转换方法：1、在转换变量前加上用括号括起来的目标类型“(bool)”或“(boolean)”；2、用boolval()函数，语法“boolval(字符串)”；3、用settype()函数，语法“settype(变量,"boolean")”。

go语言怎么删除字符串中的空格Jan 17, 2023 pm 02:31 PM

删除方法：1、使用TrimSpace()函数去除字符串左右两边的空格，语法“strings.TrimSpace(str)”；2、使用Trim()函数去除字符串左右两边的空格，语法“strings.Trim(str, " ")”；3、使用Replace()函数去除字符串的全部空格，语法“strings.Replace(str, " ", "", -1)”。

php 字符串长度不一致怎么办Feb 07, 2023 am 09:58 AM

php字符串长度不一致的解决办法：1、通过mb_detect_encoding()函数查看字符串的编码方式；2、通过mb_strlen函数查看具体字符长度；3、使用正则表达式“preg_match_all('/[\x{4e00}-\x{9fff}]+/u', $str1, $matches);”剔除非中文字符即可。

See all articles

Hot AI Tools

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress images for free

Clothoff.io

AI clothes remover

AI Hentai Generator

Generate AI Hentai for free.

Hot Article

R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

How Long Does It Take To Beat Split Fiction?

1 months agoByDDD

R.E.P.O. Save File Location: Where Is It & How to Protect It?

1 months agoByDDD

R.E.P.O. Best Graphic Settings

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Seashell Riddle Solution

1 weeks agoByDDD

Hot Tools

SAP NetWeaver Server Adapter for Eclipse

Integrate Eclipse with SAP NetWeaver application server.

SublimeText3 Linux new version

SublimeText3 Linux latest version

MinGW - Minimalist GNU for Windows

This project is in the process of being migrated to osdn.net/projects/mingw, you can continue to follow us there. MinGW: A native Windows port of the GNU Compiler Collection (GCC), freely distributable import libraries and header files for building native Windows applications; includes extensions to the MSVC runtime to support C99 functionality. All MinGW software can run on 64-bit Windows platforms.