2. 程式人生 > >變量安全過濾,防止xss攻擊

變量安全過濾,防止xss攻擊

阿新 發佈:2018-03-15
轉義 javascrip dai post ash time return 空格 去除

下面這個方法不管是字符串還是數組,都可以進行過濾

/**
 * @purpose     : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全
 * @author      : daicr
 * @time        : 2018-03-15
 * @param       : array $fArray 需要轉換的數組
 * @return      :array $fArray 轉換完成的數組
 */
function varFilter ($fArray) {
    if (is_array($fArray)) {
        foreach
 
 ( $fArray AS $_arrykey => $_arryval ) {
            if ( is_string($_arryval) ) {
                $fArray[$_arrykey] = trim($fArray[$_arrykey]);                                        // 去除左右兩端空格
                $fArray[$_arrykey] = htmlspecialchars($fArray[$_arrykey]);                            //
 
 將特殊字元轉成 HTML 格式
                $fArray[$_arrykey] = strip_tags($fArray[$_arrykey]);                                  // 從字符串中去除 HTML 和 PHP 標記
                $fArray[$_arrykey] = str_replace(‘javascript‘, ‘javascript ‘, $fArray[$_arrykey]);    // 禁止 javascript
                if (!get_magic_quotes_gpc
 
()) {                                                        // 當 magic_quotes_gpc 設置為 OFF 時,特殊字符加轉移符 \
                    $fArray[$_arrykey] = addslashes($fArray[$_arrykey]);
                }
            }else if (is_array($_arryval)){        // 如果是數組,遞歸調用                    
                $fArray[$_arrykey] = varFilter($_arryval);
            }
        }
    } else {
        $fArray = trim($fArray);                                    // 去除左右兩端空格
        $fArray = htmlspecialchars($fArray);                        // 將特殊字元轉成 HTML 格式
        $fArray = strip_tags($fArray);                              // 從字符串中去除 HTML 和 PHP 標記
        $fArray = str_replace("javascript", "javascript ", $fArray);// 禁止 javascript
        if (!get_magic_quotes_gpc()) {                                                        // 當 magic_quotes_gpc 設置為 OFF 時,特殊字符加轉義符 \
            $fArray = addslashes($fArray);
        }
    }
    Return $fArray;
}

下面這個方法只用於過濾字符串中的一些特殊字符

/**
 * @purpose     :    字符串安全過濾函數,可過濾掉空格,*,",‘,;,<,>,{,},\,../,..,./,UNION等
 * @author        :    daicr
 * @time        :    2018-03-15
 * @param         :    string $string 需要進行過濾的字符串
 * @return         :    string $string 過濾完畢的字符串
 */
function strFilter($string) {
    $string = str_replace(‘%20‘,‘‘,$string);        // 過濾 空格
    $string = str_replace(‘%27‘,‘‘,$string);        // 過濾 ‘
    $string = str_replace(‘%2527‘,‘‘,$string);        // 過濾 ‘
    $string = str_replace(‘*‘,‘‘,$string);            // 過濾 *
    $string = str_replace(‘"‘,‘&quot;‘,$string);    // 將 " 轉義為html實體
    $string = str_replace("‘",‘‘,$string);            // 過濾 ‘
    $string = str_replace(‘"‘,‘‘,$string);            // 過濾 "
    $string = str_replace(‘;‘,‘‘,$string);            // 過濾 ;
    $string = str_replace(‘<‘,‘&lt;‘,$string);        // 將 < 轉義為html實體
    $string = str_replace(‘>‘,‘&gt;‘,$string);        // 將 > 轉義為html實體
    $string = str_replace("{",‘‘,$string);            // 過濾 {
    $string = str_replace(‘}‘,‘‘,$string);            // 過濾 }
    $string = str_replace(‘\\‘,‘‘,$string);            // 過濾 
    $string = str_replace("../","",$str);            // 過濾 ../
    $string = str_replace("..","",$str);            // 過濾 ..
    $string = str_replace("./","",$str);            // 過濾 ./
    $string = str_ireplace("UNION","",$str);        // 忽略大小寫過濾 UNION
    return $string;
}

對用戶輸入的字符串進行過濾,以防止 xss 攻擊

變量安全過濾,防止xss攻擊

相關推薦

安全過濾防止xss攻擊

轉義 javascrip dai post ash time return 空格 去除 下面這個方法不管是字符串還是數組,都可以進行過濾 /** * @purpose : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全

特殊字符的過濾防止xss攻擊

factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

XssFilter防止指令碼注入防止xss攻擊

主要用到commons-lang3-3.1.jar這個包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()這個方法。 解決過程主要在使用者輸入和顯示輸出兩步:在輸入時對特殊字元如<>"

防止XSS攻擊過濾程式碼

function remove_xss($string) {     if (!is_array($string)){        $string = trim($string);        $string = strip_tags($string);       

開啟CSP網頁安全政策防止XSS攻擊

使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

前端安全系列(一):如何防止XSS攻擊

前端安全 隨著網際網路的高速發展,資訊保安問題已經成為企業最為關注的焦點之一,而前端又是引發企業安全問題的高危據點。在移動網際網路時代,前端人員除了傳統的 XSS、CSRF 等安全問題之外,又時常遭遇網路劫持、非法呼叫 Hybrid API 等新型安全問題。當然

Java Web使用過濾器防止Xss攻擊解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

django 防止xss攻擊標記為安全的二種方法

str='<a href="/page?page=1">1</a>' 一,在前端模板語言中實現,只須用到幫助函式safe.如:   {{ str|safe }}   二,在後端views中實現:   from django.utils.safestring impo

從零學習安全測試XSS漏洞攻擊和防禦開始

WeTest 導讀 本篇包含了XSS漏洞攻擊及防禦詳細介紹,包括漏洞基礎、XSS基礎、編碼基礎、XSS Payload、XSS攻擊防禦。 第一部分:漏洞攻防基礎知識 XSS屬於漏洞攻防,我們要研究它就要了解這個領域的一些行話,這樣才好溝通交流。同時我建立了一個簡易的攻擊模型用於XSS漏洞學習。 1

addslasheshtmlspecialcharshtmlentities轉換或者轉義php特殊字元防止xss攻擊以及sql注入

一、轉義或者轉換的目的     1. 轉義或者轉換字串防止sql注入     2. 轉義或者轉換字元防止html非過濾引起頁面佈局變化     3. 轉義或者轉換可以阻止javascript等指令碼的xss攻擊,避免出現類似惡意彈窗等等形式 二、函式     1. addslashes($str

C++構造函數對類成員初始化使用初始化列表和構造函數內部直接賦值 的差別

初始化列表 不能 構造 調用 ron 二次 art size strong 初始化和賦值對內置類型的成員沒有什麽大的差別,像任一個構造函數都能夠。但有的時候必須用帶有初始化列表的構造函數: (1) 成員類型是沒有默認構造函數的類。若沒有提供顯式初始化時,則編譯器隱式

通過位異或來交換ab的值和通過中間交換ab的值

[] printf urn %d include ret std char har //通過位異或來交換a,b的值 #include <stdio.h> int main(int argc, const char * argv[]) { int a=20,

超前引用不可使用類名來定義和函數的參數只可用來定義引用或者指針。

引用 使用 nbsp lin 類名 users undefined error eight C:\Users\Administrator\Documents\TreeView\mainwindow.h:31: error: C2079: ‘MainWindow::mytre

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

CodeIgniter 防止XSS攻擊

rip file input 默認 嘗試 應該 而是 data scrip CodeIgniter 包含了跨站腳本攻擊的防禦機制,它可以自動地對所有POST以及COOKIE數據進行過濾,或者您也可以針對單個項目來運行它。默認情況下,它 不會 全局運行,因為這樣也需要一些執行

AngularJS 為什麽 我在controller裏修改了 的值dom 沒有改變

sco ref ces tails iges round source 點擊 什麽 ‘use strict‘ app.controller(‘xxxxx‘, function($scope) { $scope.aaaa =null; $scope

mysql-防止XSS攻擊

xss攻擊 style -s 查詢 cut 參數化查詢 pre mysql 數據庫 1,防止Xss攻擊 數據庫查詢數據操作,為了防止註入,要執行參數化查詢,也就是直接利用execute直接進行sql語句的執行, 因為exexute本身就有接收語句變量的參數位, exe

交換兩個的值不借助第三個的 三種方法(JS實現)

clas img 進行 blog 算法 並且 pos 成交 方法 第一種:算術運算法 var a = 10; var b = 12; a = b - a; b = b - a; a = b + a; 它的原理是:把a、b看做數軸上的點,圍繞兩點間的距離來進行計算。

微軟AntiXSS防止xss攻擊類庫

輸入 添加 lan 轉義 visual class cin java 最新 AntiXSS,由微軟推出的用於防止XSS攻擊的一個類庫,可實現輸入白名單機制和輸出轉義。 AntiXSS最新版的下載地址:http://wpl.codeplex.com 下載安裝

shell定義帶的模板直接修改變用這種方法再也不用擔心正則匹配不準的問題了

shell定義帶變量的模板 shell直接修改文件內的變量 shell不用正則修改文件內容 shell修改配置文件 之前用shell 寫腳本,有時候不光要定義一個 配置文件,很多時候還要有個模板,不同的環境直接替換相同的模板內容來用;然而,在這之前,一直都是用的 sed 、 awk 、grep