将来的你, 肯定会感激现在拼命的自己。
  • php
  •  2015.03.11 10:30
  •  372

什么XSS攻击?PHP防止XSS攻击函数

XSS全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

看看常见的恶意字符XSS 输入:

1.XSS输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>

2.XSS输入也可能是 HTML 代码段,譬如:

(1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

防止XSS攻击测试路径:
1987391165.gif

其实有很多测试XSS攻击的工具:

  • Paros proxy (http://www.parosproxy.org)

  • Fiddler (http://www.fiddlertool.com/fiddler)

  • Burp proxy (http://www.portswigger.net/proxy/)

  • TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

对于PHP开发者来说,如何去防范XSS攻击呢?

/**
 * @param String|Array $param
 * @param boolean $high 默认为false,安全级别高
 * @return boolean
 */
public function cleanXSS( &$param, $high = false ) {
  if ( !is_array( $param ) ) {
    $param = trim( $param ); //清理空格
    $param = strip_tags( $param ); //过滤html标签
    $param = htmlspecialchars( $param ); //将字符内容转化为html实体
    $param = addslashes( $param );
    if ( !$high ) {
      return true;
    }
    $param = str_replace( array( '"', "\\", "'", "/", "..", "../", "./", "//" ), '', $param );
    $no = '/%0[0-8bcef]/';
    $param = preg_replace( $no, '', $param );
    $no = '/%1[0-9a-f]/';
    $param = preg_replace( $no, '', $param );
    $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
    $param = preg_replace( $no, '', $param );
    return true;
  }
  $keys = array_keys( $param );
  foreach ( $keys as $key ) {
    $this->cleanXSS( $param [ $key ], $high );
  }
  return true;
}

//just a test
$str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
$this->cleanXSS( $str ); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;

通过clean_xss()就过滤了恶意内容!

转载自:http://www.phpddt.com/php/php-prevent-xss.html


 钟永标

个人头像


 热门推荐


 热门阅读