www.adminn.cn
站长正能量分享网!

php过滤XSS攻击的函数

AD:阿里云服务器企业会员更优惠 腾讯云香港,韩国免备案服务器1.8折优惠

PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用,下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。

  1. <?php 
  2. function RemoveXSS($val) {   
  3.    // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed   
  4.    // this prevents some character re-spacing such as <java\0script>   
  5.    // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs   
  6.    $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/'''$val);   
  7.  
  8.    // straight replacements, the user should never need these since they're normal characters   
  9.    // this prevents like <IMG SRC=@avascript:alert('XSS')>   
  10.    $search = 'abcdefghijklmnopqrstuvwxyz';  
  11.    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';   
  12.    $search .= '1234567890!@#$%^&*()';  
  13.    $search .= '~`";:?+/={}[]-_|\'\\';  
  14.    for ($i = 0; $i < strlen($search); $i++) {  
  15.       // ;? matches the ;, which is optional  
  16.       // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars  
  17.  
  18.       // @ @ search for the hex values  
  19.       $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i'$search[$i], $val); // with a ;  
  20.       // @ @ 0{0,7} matches '0' zero to seven times   
  21.       $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/'$search[$i], $val); // with a ;  
  22.    }  
  23.  
  24.    // now the only remaining whitespace attacks are \t, \n, and \r  
  25.    $ra1 = Array('javascript''vbscript''expression''applet''meta''xml''blink''link''style''script''embed''object''iframe''frame''frameset''ilayer''layer''bgsound''title''base');  
  26.    $ra2 = Array('onabort''onactivate''onafterprint''onafterupdate''onbeforeactivate''onbeforecopy''onbeforecut''onbeforedeactivate''onbeforeeditfocus''onbeforepaste''onbeforeprint''onbeforeunload''onbeforeupdate''onblur''onbounce''oncellchange''onchange''onclick''oncontextmenu''oncontrolselect''oncopy''oncut''ondataavailable''ondatasetchanged''ondatasetcomplete''ondblclick''ondeactivate''ondrag''ondragend''ondragenter''ondragleave''ondragover''ondragstart''ondrop''onerror''onerrorupdate''onfilterchange''onfinish''onfocus''onfocusin''onfocusout''onhelp''onkeydown''onkeypress''onkeyup''onlayoutcomplete''onload''onlosecapture''onmousedown''onmouseenter''onmouseleave''onmousemove''onmouseout''onmouseover''onmouseup''onmousewheel''onmove''onmoveend''onmovestart''onpaste''onpropertychange''onreadystatechange''onreset''onresize''onresizeend''onresizestart''onrowenter''onrowexit''onrowsdelete''onrowsinserted''onscroll''onselect''onselectionchange''onselectstart''onstart''onstop''onsubmit''onunload');  
  27.    $ra = array_merge($ra1$ra2);  
  28.  
  29.    $found = true; // keep replacing as long as the previous round replaced something  
  30.    while ($found == true) {  
  31.       $val_before = $val;  
  32.       for ($i = 0; $i < sizeof($ra); $i++) {  
  33.          $pattern = '/';  
  34.          for ($j = 0; $j < strlen($ra[$i]); $j++) {  
  35.             if ($j > 0) {  
  36.                $pattern .= '(';   
  37.                $pattern .= '(&#[xX]0{0,8}([9ab]);)';  
  38.                $pattern .= '|';   
  39.                $pattern .= '|(&#0{0,8}([9|10|13]);)';  
  40.                $pattern .= ')*';  
  41.             }  
  42.             $pattern .= $ra[$i][$j];  
  43.          } //phpfensi.com 
  44.          $pattern .= '/i';   
  45.          $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag   
  46.          $val = preg_replace($pattern$replacement$val); // filter out the hex tags   
  47.          if ($val_before == $val) {   
  48.             // no replacements were made, so exit the loop   
  49.             $found = false;   
  50.          }   
  51.       }   
  52.    }   
  53.    return $val;   
  54. }    
  55. ?> 

模板优惠价: (点击购买)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《php过滤XSS攻击的函数》
文章链接:https://www.adminn.cn/news/6774.html
本站资源模板仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。2021.5月起,网站调整,暂不再分享免费模板。谢谢理解

Adminn.Cn 站长分享圈

帝国CMS精品模板腾讯云优惠券,代金券

本站源码仅供本地环境下学习借鉴研究使用!

源码请勿用于任何涉灰站点!净化网络,站长更有责!

支付宝扫一扫打赏