PHP如何防止XSS攻击

PHP 2013年07月03日 , , ,

XSS 全称为Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

看看常见的恶意字符XSS 输入:

  1. XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>
  2. XSS 输入也可能是 HTML 代码段,譬如:
    1. 网页不停地刷新 <meta http-equiv="refresh" content="0;">
    2. 嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

防止XSS攻击测试路径:php-xss-function

  • 其实有很多测试XSS攻击的工具:
  • Paros proxy (http://www.parosproxy.org)
  • Fiddler (http://www.fiddlertool.com/fiddler)
  • Burp proxy (http://www.portswigger.net/proxy/)
  • TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

对于PHP开发者来说,如何去防范XSS攻击呢?

可以用如下函数:

 < ?PHP
/**
 * @blog http://furzoom.com/
 * @param $string
 * @param $low 安全别级低
 */
function clean_xss(&$string, $low = False)
{
	if (! is_array ( $string ))
	{
		$string = trim ( $string );
		$string = strip_tags ( $string );
		$string = htmlspecialchars ( $string );
		if ($low)
		{
			return True;
		}
		$string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
		$no = '/%0[0-8bcef]/';
		$string = preg_replace ( $no, '', $string );
		$no = '/%1[0-9a-f]/';
		$string = preg_replace ( $no, '', $string );
		$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
		$string = preg_replace ( $no, '', $string );
		return True;
	}
	$keys = array_keys ( $string );
	foreach ( $keys as $key )
	{
		clean_xss ( $string [$key] );
	}
}
//just a test
$str = 'phpddt.com<meta http-equiv="refresh" content="0;" />';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;
?>

 

通过clean_xss()就过滤了恶意内容!

本文地址:http://furzoom.com/php-xss-function/

如无特别说明,本站文章皆为原创,若要转载,务必请注明以下原文信息:
日志标题:《PHP如何防止XSS攻击》
日志链接:http://furzoom.com/php-xss-function/
博客名称:枫竹梦

发表评论

插入图片

NOTICE1:请申请gravatar头像,没有头像的评论可能不会被回复!

回到顶部