PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞

梦里梦外; 2022-04-01 06:20 405阅读 0赞

漏洞危害: 黑客利用精心组织的SQL语句，通过Web表单注入的Web应用中，从而获取后台DB的访问与存取权限。获取相应的权限之后，可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。

**防止SQL注入代码：**

主要是利用magic\_quotes\_gpc指令或它的搭挡addslashes()函数；

如果要自己拼SQL语句，一定要自己再过滤一下【addslashes】，也不是直接就能过滤，还要考虑PHP服务器有没有开启自动过滤的功能，如果服务器已经开启自动过滤的功能我们就不能再过滤，只有没有开启时才需要手动过滤：

<?php
    //php防注入和XSS攻击通用过滤
    $_GET     && SafeFilter($_GET);
    $_POST    && SafeFilter($_POST);
    $_COOKIE  && SafeFilter($_COOKIE);
      
    function SafeFilter (&$arr) 
    {
       $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'
       ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'
       ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',
       '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'
       ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
         
       if (is_array($arr))
       {
         foreach ($arr as $key => $value) 
         {
            if (!is_array($value))
            {
              if (!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
              {
                 $value  = addslashes($value); //给单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）
                 加上反斜线转义
              }
              $value       = preg_replace($ra,'',$value);     //删除非打印字符，粗暴式过滤xss可疑字符串
              $arr[$key]     = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
            }
            else
            {
              SafeFilter($arr[$key]);
            }
         }
       }
    }
    ?>

**防止XSS跨站攻击代码：**

XSS，全称为Cross Site Script，跨站脚本攻击，是WEB程序中一种常见的漏洞。其主要的攻击手段是在在利用网站上的可由用户输入信息的地方，恶意注入含有攻击性的脚本，达到攻击网站或者窃取用户cookied等隐私信息的目的。

XSS漏洞主要分为两种类型，一种是Stored XSS， 另一种是反射型 XSS。

第一种举个简单的例子就是BBS网站，黑客可以利用留言的功能，发表以下内容:

对系统而言，它认为这和其他的留言一样都只是字符串。但是当有用户访问到这个页面时，浏览器会把这段留言当成html内容来解析。因此就执行了其中的js脚本。

而反射型 XSS则是利用点击链接或是提交一些内容来达到攻击的目的。

比如我有以下一个页面：

当用户在input框中输入:    "<script type="text/javascript"> alert(“surperise”) " 时。他也向浏览器插入了自己的JS脚本。

当表单被提交时，输入的字符串被作为参数放在了URL中，传到下一个页面。

当下一个页面需要显示这些内容，字符串中包含的攻击脚本也就被浏览器解释了出来。

当然这段脚本只能在自己的浏览器执行，可能没有什么攻击性，但是黑客们会想尽办法伪装页面达到攻击的目的。

总之，XSS攻击就是想办法让你的浏览器去执行他的脚本。

主要是利用**htmlspecialchars过滤**；

//防止xss跨站攻击 数组或字符串都有效
    function clean_xss(&$string){
    	if(!is_array($string)){
    		$string = trim($string);
    		$string = strip_tags($string);
    		$string = htmlspecialchars($string);
    		$string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);
    		$no = '/%0[0-8bcef]/';
    		$string = preg_replace ($no, '', $string);
    		$no = '/%1[0-9a-f]/';
    		$string = preg_replace ($no, '', $string);
    		$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
    		$string = preg_replace ($no, '', $string);
    		return True;
    	}
     
    	$keys = array_keys($string);
    	foreach($keys as $key){
    		clean_xss($string[$key]);
    	}
    }

备注(关于XSS)：

1、php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数 。

2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT\_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.

3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT\_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT\_NOQUOTES).