编程 PHP

php实现XSS安全过滤的方法

Posted in PHP onJuly 29, 2015

本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下：

function remove_xss($val) {
  // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
  // this prevents some character re-spacing such as <java\0script>
  // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
  $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
  // straight replacements, the user should never need these since they're normal characters
  // this prevents like <IMG SRC=@avascript:alert('XSS')>
  $search = 'abcdefghijklmnopqrstuvwxyz';
  $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
  $search .= '1234567890!@#$%^&*()';
  $search .= '~`";:?+/={}[]-_|\'\\';
  for ($i = 0; $i < strlen($search); $i++) {
   // ;? matches the ;, which is optional
   // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
   // @ @ search for the hex values
   $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
   // @ @ 0{0,7} matches '0' zero to seven times
   $val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
  }
  // now the only remaining whitespace attacks are \t, \n, and \r
  $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
  $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
  $ra = array_merge($ra1, $ra2);
  $found = true; // keep replacing as long as the previous round replaced something
  while ($found == true) {
   $val_before = $val;
   for ($i = 0; $i < sizeof($ra); $i++) {
     $pattern = '/';
     for ($j = 0; $j < strlen($ra[$i]); $j++) {
      if ($j > 0) {
        $pattern .= '(';
        $pattern .= '(&#[xX]0{0,8}([9ab]);)';
        $pattern .= '|';
        $pattern .= '|(�{0,8}([9|10|13]);)';
        $pattern .= ')*';
      }
      $pattern .= $ra[$i][$j];
     }
     $pattern .= '/i';
     $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag
     $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
     if ($val_before == $val) {
      // no replacements were made, so exit the loop
      $found = false;
     }
   }
  }
  return $val;
}

希望本文所述对大家的php程序设计有所帮助。

php实现XSS安全过滤的方法

- Author -

DDIAN

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

第五节克隆 [5]

Oct 09 PHP

PHP的FTP学习（一）

Oct 09 PHP

PHP的中问验证码

Nov 25 PHP

joomla内置的表单验证功能使用方法

Jun 11 PHP

使用JSON实现数据的跨域传输的php代码

Dec 20 PHP

PHP结合JQueryJcrop实现图片裁切实例详解

Jul 24 PHP

ThinkPHP中的常用查询语言汇总

Aug 22 PHP

thinkphp连贯操作实例分析

Nov 22 PHP

PHP内置的Math函数效率测试

Dec 01 PHP

PHP实现的memcache环形队列类实例

Jul 28 PHP

php实现微信公众号主动推送消息

Dec 31 PHP

PHP的垃圾回收机制代码实例讲解

Feb 27 PHP

php检查字符串中是否有外链的方法

Jul 29 #PHP

php数组比较实现查找连续数的方法

Jul 29 #PHP

PHP实现XML与数据格式进行转换类实例

Jul 29 #PHP

PHP获取某个月最大天数（最后一天）的方法

Jul 29 #PHP

discuz图片顺序混乱解决方案

Jul 29 #PHP

php计算title标题相似比的方法

Jul 29 #PHP

PHP实现简单实用的验证码类

Jul 29 #PHP

You might like

PHP的ASP防火墙

2006/10/09 PHP

PHP 线程安全与非线程安全版本的区别深入解析

2013/08/06 PHP

php调用c接口无错版介绍

2014/03/11 PHP

PHP小技巧之函数重载

2014/06/02 PHP

PHP网页游戏学习之Xnova(ogame)源码解读（九）

2014/06/24 PHP

php给图片加文字水印

2015/07/31 PHP

Redis在Laravel项目中的应用实例详解

2017/08/11 PHP

dojo 之基础篇

2007/03/24 Javascript

jquery mobile开发常见问题分析

2016/01/21 Javascript

jQuery zTree加载树形菜单功能

2016/02/25 Javascript

JS+CSS实现鼠标经过弹出一个DIV框完整实例(带缓冲动画渐变效果)

2016/03/25 Javascript

jQuery实现手机上输入后隐藏键盘功能

2017/01/04 Javascript

Jquery根据浏览器窗口改变调整大小的方法

2017/02/07 Javascript

Bootstrap下拉菜单更改为悬停(hover)触发的方法

2017/05/24 Javascript

详解在AngularJS的controller外部直接获取$scope

2017/06/02 Javascript

ComboBox（下拉列表框）通过url加载调用远程数据的方法

2017/08/06 Javascript

jQuery中图片展示插件highslide.js的简单dom

2018/04/22 jQuery

详解vue 2.6 中 slot 的新用法

2019/07/09 Javascript

vue 虚拟DOM的原理

2020/10/03 Javascript

vue中配置scss全局变量的步骤

2020/12/28 Vue.js

[42:32]Secret vs Optic 2018国际邀请赛小组赛BO2 第二场 8.18

2018/08/19 DOTA

Python实现二叉堆

2016/02/03 Python

利用Python脚本生成sitemap.xml的实现方法

2017/01/31 Python

python中requests使用代理proxies方法介绍

2017/10/25 Python

django之自定义软删除Model的方法

2019/08/14 Python

python中seaborn包常用图形使用详解

2019/11/25 Python

Python timeit模块的使用实践

2020/01/13 Python

Tensorflow tf.dynamic_partition矩阵拆分示例(Python3)

2020/02/07 Python

Python控制台输出时刷新当前行内容而不是输出新行的实现

2020/02/21 Python

你对IPv6了解程度

2016/02/09 面试题

《夜晚的实验》教学反思

2014/02/19 职场文书

毕业生就业推荐表自我鉴定

2014/03/20 职场文书

委托公证书

2014/04/08 职场文书

骨干教师考核方案

2014/05/09 职场文书

继续教育心得体会（共6篇）

2016/01/19 职场文书

上手简单,功能强大的Python爬虫框架——feapder

2021/04/27 Python