php_PHP チュートリアルで XSS 攻撃と Ajax クロスドメイン攻撃を防ぐ方法-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

php_PHP チュートリアルで XSS 攻撃と Ajax クロスドメイン攻撃を防ぐ方法

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:31 AM

phpxss攻撃防止

对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

现在有很多php开发框架都提供关于防XSS攻击的过滤方法，下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数，摘自某开发框架，相比于仅仅使用内置函数应该还是够强了的吧。

function xss_clean($data){
	// Fix &entity\n;
	$data=str_replace(array('&','<','>'),array('&amp;','&lt;','&gt;'),$data);
	$data=preg_replace('/(&#*\w+)[\x00-\x20]+;/u','$1;',$data);
	$data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);
	$data=html_entity_decode($data,ENT_COMPAT,'UTF-8');
	// Remove any attribute starting with "on" or xmlns
	$data=preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);
	// Remove javascript: and vbscript: protocols
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2nojavascript...',$data);
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2novbscript...',$data);
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u','$1=$2nomozbinding...',$data);
	// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i','$1>',$data);
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i','$1>',$data);
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu','$1>',$data);
	// Remove namespaced elements (we do not need them)
	$data=preg_replace('#</*\w+:\w[^>]*+>#i','',$data);
	// http://www.phpernote.com/
	do{// Remove really unwanted tags
		$old_data=$data;
		$data=preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data);
	}while($old_data!==$data);
	// we are done...
	return $data;
}

您可能感兴趣的文章

通用的PHP防注入漏洞攻击的过滤函数代码
php提取身份证号码中的生日日期以及验证是否为未成年人的函数
PHP检查浏览器参数防止被SQL注入的函数
防止网站被攻击的办法
jquery+html+php 实现Ajax无刷新文件上传
php判断今日是本月的第几个星期几
php程序员面试题--常见基础问答题(1)
smarty模板中使用php函数以及smarty模板中如何对一个变量使用多个函数

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHPセッションに保存されているデータをどのように変更しますか？Apr 27, 2025 am 12:23 AM

tomodifydatainaphpsession、starthessession withsession_start（）、$ _sessiontoset、modify、orremovevariables.1）startthessession.2）

PHPセッションに配列を保存する例を示します。Apr 27, 2025 am 12:20 AM

配列はPHPセッションに保存できます。 1。セッションを開始し、session_start（）を使用します。 2。配列を作成し、$ _Sessionで保存します。 3. $ _Sessionを介して配列を取得します。 4.セッションデータを最適化してパフォーマンスを向上させます。

Garbage CollectionはPHPセッションでどのように機能しますか？Apr 27, 2025 am 12:19 AM

PHPセッションガベージコレクションは、有効期限が切れたセッションデータをクリーンアップするために確率メカニズムを通じてトリガーされます。 1）構成ファイルにトリガー確率とセッションのライフサイクルを設定します。 2）Cronタスクを使用して、高負荷アプリケーションを最適化できます。 3）データの損失を避けるために、ごみ収集の頻度とパフォーマンスのバランスを取る必要があります。

どのようにしてPHPでセッションアクティビティをトレースできますか？Apr 27, 2025 am 12:10 AM

PHPでのユーザーセッションアクティビティの追跡は、セッション管理を通じて実装されます。 1）SESSION_START（）を使用してセッションを開始します。 2）$ _Sessionアレイを介してデータを保存およびアクセスします。 3）セッションを終了するには、session_destroy（）を呼び出します。セッショントラッキングは、ユーザーの動作分析、セキュリティ監視、パフォーマンスの最適化に使用されます。

データベースを使用してPHPセッションデータを保存するにはどうすればよいですか？Apr 27, 2025 am 12:02 AM

データベースを使用してPHPセッションデータを保存すると、パフォーマンスとスケーラビリティが向上します。 1）MySQLを構成してセッションデータを保存します：PHP.iniまたはPHPコードでセッションプロセッサを設定します。 2）カスタムセッションプロセッサを実装します：データベースと対話するために、開いて、閉じ、読み取り、書き込み、その他の機能を定義します。 3）最適化とベストプラクティス：インデックス、キャッシュ、データ圧縮、分散ストレージを使用して、パフォーマンスを向上させます。

PHPセッションの概念を簡単に説明してください。Apr 26, 2025 am 12:09 AM

phpssionsStrackuserdataacrossmultiplepagerequestsusingauniqueidstoredinacookie.here'showtomanageetheemefectively：1）Startassession withsession_start（）andstoredatain $ _ session.2）RegeneratesseSsessidafterloginwithsession_id（the topreventes_id）

PHPセッションに保存されているすべての値をどのようにループしますか？Apr 26, 2025 am 12:06 AM

PHPでは、次の手順を通じてセッションデータを繰り返すことができます。1。session_start（）を使用してセッションを開始します。 2。$ _Sessionアレイのすべてのキー価値ペアを介してforeachループを反復します。 3.複雑なデータ構造を処理する場合、is_array（）またはis_object（）関数を使用し、print_r（）を使用して詳細情報を出力します。 4.トラバーサルを最適化する場合、ページングを使用して、一度に大量のデータの処理を避けることができます。これにより、実際のプロジェクトでPHPセッションデータをより効率的に管理および使用するのに役立ちます。