Home > php教程 > php手册 > XSS安全过滤

XSS安全过滤

WBOY
Release: 2016-06-07 11:45:58
Original
1296 people have browsed it

来源于网络,用于对字符串进行XSS安全过滤。function remove_xss($val) {<br>    // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed<br>    // this prevents some character re-spacing such as <java><br>    // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs<br>    $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);<br> <br>    // straight replacements, the user should never need these since they're normal characters<br>    // this prevents like <img alt="XSS安全过滤" ><br>    $search = 'abcdefghijklmnopqrstuvwxyz';<br>    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';<br>    $search .= '1234567890!@#$%^&*()';<br>    $search .= '~`";:?+/={}[]-_|\'\\';<br>    for ($i = 0; $i        // ;? matches the ;, which is optional<br>       // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars<br> <br>       // @ @ search for the hex values<br>       $val = preg_replace('/([xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;<br>       // @ @ 0{0,7} matches '0' zero to seven times<br>       $val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;<br>    }<br> <br>    // now the only remaining whitespace attacks are \t, \n, and \r<br>    $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');<br>    $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');<br>    $ra = array_merge($ra1, $ra2);<br> <br>    $found = true; // keep replacing as long as the previous round replaced something<br>    while ($found == true) {<br>       $val_before = $val;<br>       for ($i = 0; $i           $pattern = '/';<br>          for ($j = 0; $j              if ($j > 0) {<br>                $pattern .= '(';<br>                $pattern .= '([xX]0{0,8}([9ab]);)';<br>                $pattern .= '|';<br>                $pattern .= '|(�{0,8}([9|10|13]);)';<br>                $pattern .= ')*';<br>             }<br>             $pattern .= $ra[$i][$j];<br>          }<br>          $pattern .= '/i';<br>          $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in  to nerf the tag<br>          $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags<br>          if ($val_before == $val) {<br>             // no replacements were made, so exit the loop<br>             $found = false;<br>          }<br>       }<br>    }<br>    return $val;<br> }</x></java>

AD:真正免费,域名+虚机+企业邮箱=0元

source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Recommendations
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template