2. 程式人生 > >PHP剔除刪除掉危險字符

PHP剔除刪除掉危險字符

阿新 發佈:2017-09-12
param tex lec bmi update vbscrip func substr drag

本文出至:新太潮流網絡博客

/**
 * [剔除掉危險字符]
 * @E-mial [email protected]
 * @TIME   2017-04-07
 * @WEB    http://blog.iinu.com.cn
 * @param  [數據] $val [要處理的數據]
 * @return [type]      [description]
 */
function remove_xss($val) {

    $val = preg_replace(‘/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/‘, ‘‘, $val);


    $search = ‘abcdefghijklmnopqrstuvwxyz‘;
    $search .= ‘ABCDEFGHIJKLMNOPQRSTUVWXYZ‘;
    $search .= ‘[email protected]#$%^&*()‘;
    $search .= ‘~`";:?+/={}[]-_|\‘\\‘;
    for ($i = 0; $i < strlen($search); $i++) {

        $val = preg_replace(‘/(&#[xX]0{0,8}‘ . dechex(ord($search[$i])) . ‘;?)/i‘, $search[$i], $val);

        $val = preg_replace(‘/(?{0,8}‘ . ord($search[$i]) . ‘;?)/‘, $search[$i], $val); 
    }

    // now the only remaining whitespace attacks are \t, \n, and \r
    $ra1 = array(‘javascript‘, ‘vbscript‘, ‘expression‘, ‘applet‘, ‘meta‘, ‘xml‘, ‘blink‘, ‘link‘, ‘style‘, ‘script‘, ‘embed‘, ‘object‘, ‘iframe‘, ‘frame‘, ‘frameset‘, ‘ilayer‘, ‘layer‘, ‘bgsound‘, ‘title‘, ‘base‘);
    $ra2 = array(‘onabort‘, ‘onactivate‘, ‘onafterprint‘, ‘onafterupdate‘, ‘onbeforeactivate‘, ‘onbeforecopy‘, ‘onbeforecut‘, ‘onbeforedeactivate‘, ‘onbeforeeditfocus‘, ‘onbeforepaste‘, ‘onbeforeprint‘, ‘onbeforeunload‘, ‘onbeforeupdate‘, ‘onblur‘, ‘onbounce‘, ‘oncellchange‘, ‘onchange‘, ‘onclick‘, ‘oncontextmenu‘, ‘oncontrolselect‘, ‘oncopy‘, ‘oncut‘, ‘ondataavailable‘, ‘ondatasetchanged‘, ‘ondatasetcomplete‘, ‘ondblclick‘, ‘ondeactivate‘, ‘ondrag‘, ‘ondragend‘, ‘ondragenter‘, ‘ondragleave‘, ‘ondragover‘, ‘ondragstart‘, ‘ondrop‘, ‘onerror‘, ‘onerrorupdate‘, ‘onfilterchange‘, ‘onfinish‘, ‘onfocus‘, ‘onfocusin‘, ‘onfocusout‘, ‘onhelp‘, ‘onkeydown‘, ‘onkeypress‘, ‘onkeyup‘, ‘onlayoutcomplete‘, ‘onload‘, ‘onlosecapture‘, ‘onmousedown‘, ‘onmouseenter‘, ‘onmouseleave‘, ‘onmousemove‘, ‘onmouseout‘, ‘onmouseover‘, ‘onmouseup‘, ‘onmousewheel‘, ‘onmove‘, ‘onmoveend‘, ‘onmovestart‘, ‘onpaste‘, ‘onpropertychange‘, ‘onreadystatechange‘, ‘onreset‘, ‘onresize‘, ‘onresizeend‘, ‘onresizestart‘, ‘onrowenter‘, ‘onrowexit‘, ‘onrowsdelete‘, ‘onrowsinserted‘, ‘onscroll‘, ‘onselect‘, ‘onselectionchange‘, ‘onselectstart‘, ‘onstart‘, ‘onstop‘, ‘onsubmit‘, ‘onunload‘);
    $ra = array_merge($ra1, $ra2);

    $found = true;
    while ($found == true) {
        $val_before = $val;
        for ($i = 0; $i < sizeof($ra); $i++) {
            $pattern = ‘/‘;
            for ($j = 0; $j < strlen($ra[$i]); $j++) {
                if ($j > 0) {
                    $pattern .= ‘(‘;
                    $pattern .= ‘(&#[xX]0{0,8}([9ab]);)‘;
                    $pattern .=‘|‘
 
;
                    $pattern .=‘|(?{0,8}([9|10|13]);)‘;
                    $pattern .=‘)*‘;}
                $pattern .= $ra[$i][$j];}
            $pattern .=‘/i‘;
            $replacement = substr($ra[$i],0,2).. substr($ra[$i],2); 
            $val = preg_replace($pattern, $replacement, $val);if($val_before 
 
== $val){

                $found =false;}}}return $val;}

本文出至:新太潮流網絡博客

PHP剔除刪除掉危險字符

相關推薦

PHP剔除刪除危險

param tex lec bmi update vbscrip func substr drag 本文出至:新太潮流網絡博客 /** * [剔除掉危險字符] * @E-mial [email protected] * @TIME 2017-04-07

從JavaWeb危險過濾淺談ESAPI使用

ava numbers cati 同學 owin 軟件 implement input div 事先聲明:只是淺談,我也之用了這個組件的一點點。 又到某重要XX時期(但願此文給面臨此需求的同仁有所幫助),某Web應用第一次面臨安全加固要求,AppS

php過濾微信特殊方案--》2017新版

match turn code php filter 過濾特殊字符 rep pre return /** * 過濾特殊字符 * @param unknown $str */ private function filterStr($str)

PHP-redis命令之 strings (串)

edi string cond app expire redis exists ray 檢查 一.string (字符串) 1.set:設置鍵   $reids->set(‘mykey‘,111); 2.get:獲取鍵   $redis->get(‘myk

php把數組、串 生成文件

字符 turn 代碼 nbsp col name style 數組 die 生成的代碼 data/ss.php <?php return array ( ‘name‘ => ‘1111‘, ‘title‘ => ‘2222‘, ); p

PHP生成隨機或者唯一

script else scrip amp 生成 int array bre abcde 本文出至:新太潮流網絡博客 /** * [生成隨機字符串] * @E-mial [email protected] * @TIME 2017-04-07 * @W

解決PHP服務端返回json串有特殊的問題

解析 clas 要求 com 切換 trac bom break 必須 1. 問題描述 在調用PHP後臺接口發現後臺接口返回的json字符串Gson一直解析不通過: List<Region> districts = null; if (!Text

淺析PHP中處理HTML特殊轉換

order charset body special 前臺 regular 混亂 base ble 我們在用PHP處理頁面顯示內容時,經常會遇到一些特殊字符轉換問題,如果處理不當就會導致頁面顯示混亂,不能得到目標效果。所以本文我們將和大家一起歸納總結PHP中處理HTML特殊

asp.net提交危險處理方法之一

article click事件 .net 所有 nco esc web 百度 escape 在form表單提交前,可以在web頁面,submit按鈕的click事件中,使用js函數對,可能有危險字符的內容進行編碼。 有3個函數可用: encodeURI() 函數可把字符串作

PHP使用http_build_query()構造URL串的方法(可將POST參數組轉換拼接成GET請求鏈接)

log encode 1=1 str 問號 就是 span exp enc <?php //parse_str與http_build_query的使用 //使用parse_str將url字符串轉變為key=>value的數組 $str = "

re表達式替換" ”

需要 div 替換 col code pre 一個 取消 imp 使用re來將一些字符替換掉,比如替換為空: 1 import re 2 3 s = "這是一個例子\n,我們的祖國" 4 re.sub("[\n\t\r]", "", s) 非常方便地替換掉你需要替

[PHP] 算法-將一個串轉換成一個整數的PHP實現

empty 當前位置 value 實現 包含 symbol 不能 res 整型 題目描述 將一個字符串轉換成一個整數(實現Integer.valueOf(string)的功能,但是string不符合數字要求時返回0),要求不能使用字符串轉換整數的庫函數。 數值為0或者字符

php 怎樣判斷一段 有沒有經過 urlencode 處理

所有 rpo cookie from 不一致 http amp ref 字符 有沒有百分號 判斷字符串 執行urldecode 之前和之後是否一致 一致就是沒有經過urlencode 不一致就是經過urlencode的 自己方法:判斷是否所有: if(strpos(

sed刪除包含指定串的所有行

字符串 asd sed asdf ASDK dsd dds sds 包含字符串 1.以刪除文件example.txt中包含字符串"=yes"的行為例,example.txt文件有以下內容: dadasdfsadf=yes=sds dsdadasdkfk dsdsdds=sy

刪除第一個串出現的第二個

tchar 刪除 字符串 pos cin where and while end 題目描述: 刪除第一個字符串中出現的第二個字符串,比如s1:ababaabb, s2:aba,輸出應為:baabb #include <iostream> #include <

PHP轉換數組的編碼

set array 都是 隨筆 urn UNC con ray har 看到網上很多都是使用eval這個危險函數去轉碼,如: function array_iconv($in_charset,$out_charset,$arr){ return eval(‘re

php截取多余用省略號代替

常用 小寫 highlight div 單個字符 sources returns cati 其他 項目中常用於在截取文章描述和標題的時候 在tp5中將函數方法寫在application/common.php function cut_str($sourcestr

PHP實現刪除串中任何的函數

出現 spa return src bubuko amp bbbb fun 開始 function delStr($start, $end, $orgenStr) { //讀取要刪除字符位置的前一部分字符串,並賦值給$temp //strpos讀取字符第一

第九十題(1.不開辟暫時空間交換 2.刪除串中指定 3.推斷鏈表中存在環)

net 異或 img == pre def return 分享 存在 1.不開辟用於交換數據的暫時空間,怎樣完畢字符串的逆序 2.刪除串中指定的字符 3.推斷單鏈表中是否存在環 分析和代碼: 1,不開辟用於交換的暫時空間,能夠用異或交換。或者用字符串的‘\0‘位置的空

php實現中文反轉串的方法

str1 單個 head 共和國 list har 字符串 string text 1 <?php 2 3 header("content-type:text/html;charset=utf-8"); 4 /** 5 此函數的作用是反轉中文字符串