recherche

Maison  >  Questions et réponses  >  le corps du texte

什么XSS攻击?PHP怎么防止XSS攻击?

什么XSS攻击?PHP怎么防止XSS攻击?

baby不要哭泣baby不要哭泣2825 Il y a quelques jours1298

répondre à tous(2)je répondrai

  • 数据分析师

    数据分析师2017-10-01 00:41:34

    Quelle attaque XSS ? Comment prévenir les attaques XSS en PHP ? -Questions et réponses sur le site Web chinois PHP - Quelle attaque XSS ? Comment prévenir les attaques XSS en PHP ? - Questions et réponses sur le site Web chinois PHP

    Veuillez regarder et apprendre.

    répondre
    0
  • 伊谢尔伦

    伊谢尔伦2017-03-07 09:29:23

    XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

    看看常见的恶意字符XSS 输入:

    1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>

    2.XSS 输入也可能是 HTML 代码段,譬如:

    (1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

    (2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

    对于PHP开发者来说,如何去防范XSS攻击呢?

    可以用如下函数:

    <?PHP
    function clean_xss(&$string, $low = False)
    {
    if (! is_array ( $string ))
    {
    $string = trim ( $string );
    $string = strip_tags ( $string );
    $string = htmlspecialchars ( $string );
    if ($low)
    {
    return True;
    }
    $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
    $no = '/%0[0-8bcef]/';
    $string = preg_replace ( $no, '', $string );
    $no = '/%1[0-9a-f]/';
    $string = preg_replace ( $no, '', $string );
    $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
    $string = preg_replace ( $no, '', $string );
    return True;
    }
    $keys = array_keys ( $string );
    foreach ( $keys as $key )
    {
    clean_xss ( $string [$key] );
    }
    }
    //just a test
    $str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
    clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
    echo $str;
    ?>

    通过clean_xss()就过滤了恶意内容!


    répondre
    0
  • Annulerrépondre