PHP防XSS攻击和SQL注入

╰半夏微凉° 2021-11-09 10:36 387阅读 0赞

function SafeFilter (&$arr){
     $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
      if (is_array($arr)){
        foreach ($arr as $key => $value){
            if (!is_array($value)){
                 //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
              if (!get_magic_quotes_gpc()) {
                $value  = addslashes($value); //给单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）
              }
              $value      = preg_replace($ra,'',$value);    //删除非打印字符，粗暴式过滤xss可疑字符串
              $arr[$key]    = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
            }else{
              SafeFilter($arr[$key]);
            }
        }
      }else{
    if(!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
      {
    $arr  = addslashes($arr); //给单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）
    //加上反斜线转义
      }
      $arr    = preg_replace($ra,'',$arr);    //删除非打印字符，粗暴式过滤xss可疑字符串
      $arr    = htmlentities(strip_tags($arr)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
      }
    }
    //使用
    $post_info=array(	'aa'=>'121212<meta http-equiv="refresh" content="0;">',	'bbb'=>'<script>alert(111)</script>');
    SafeFilter($post_info);print_r($post_info);
    $str = 'www.testdemo.com<meta http-equiv="refresh" content="0;">';SafeFilter ($str);echo $str;

发表评论取消回复

表情：

评论列表（有 0 条评论，387人围观）

还没有评论，来说两句吧...

相关阅读

相关 php注入攻击工具下载,防SQL注入的php类库

防SQL注入的php类库 class sqlsafe \{ private $getfilter = "'|(and|or)\\\\b.+?(>| private $po

系统管理员/ 2023年01月17日 04:49/ 0 赞/ 144 阅读

相关防止SQL注入和XSS攻击Filter

今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞，下面的filter主要是解决防止SQL注入和XSS攻击一个是Filter负责将请求的request包装一下。一个是r

今天药忘吃喽~/ 2022年09月22日 11:58/ 0 赞/ 256 阅读

相关 Web攻击手段之XSS攻击,CRSF, SQL注入攻击

Web攻击手段之XSS攻击,CRSF, SQL注入攻击 1. XSS攻击 XSS攻击的全称是跨站脚本攻击，指的是攻击者在网页中嵌入恶意

朴灿烈づ我的快乐病毒、/ 2022年08月23日 00:59/ 0 赞/ 12 阅读

相关 Sql注入和Xss攻击的了解

Xss攻击是跨站脚本工具 Csrf攻击是跨站请求伪造 sql注入 DDOS流量攻击？防止xss脚本攻击 Xss攻击即跨站脚本攻击，通过篡改网页，注入而已的HTML脚本

柔情只为你懂/ 2022年05月25日 13:47/ 0 赞/ 191 阅读

相关 TP5框架《防sql注入、防xss攻击》

如题：tp5怎么防sql注入 xss跨站脚本攻击呢？其实很简单，TP框架中有自带的，在 application/config.php 中有个配置选项： > 框架默认没

r囧r小猫/ 2022年04月23日 02:30/ 0 赞/ 440 阅读

相关防止Xss、SQL注入攻击-Java

前言： > 1.XSS简介跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。 XS

深藏阁楼爱情的钟/ 2022年01月18日 20:09/ 0 赞/ 407 阅读

相关 TP5防sql注入、防xss攻击

框架默认没有设置任何过滤规则可以配置文件中设置全局的过滤规则 `config.php` 配置选项 `default_filter` 添加以下代码即可 //

朱雀/ 2022年01月16日 13:53/ 0 赞/ 468 阅读

相关 PHP 预防CSRF、XSS、SQL注入攻击(综合版)

【简约版】主要通过校验用户输入信息，过滤用户输入信息，以及关闭错误信息显示等方法。一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行，

我就是我/ 2022年01月09日 17:27/ 0 赞/ 338 阅读

相关 PHP防XSS攻击和SQL注入

function SafeFilter (&$arr){ $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/

╰半夏微凉°/ 2021年11月09日 10:36/ 0 赞/ 388 阅读

相关浅析：XSS攻击、SQL注入攻击和CSRF攻击

1、XSS（Cross Site Script）攻击跨站脚本攻击，是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式。跨站脚本攻击分有两种形式：反射

喜欢ヅ旅行/ 2021年09月14日 02:28/ 0 赞/ 561 阅读