PHP에서 XSS 크로스 사이트 스크립팅 공격을 방지하는 방법에 대해 이야기해 보세요.
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化任何引号,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
(1).网页不停地刷新 ''
(2).嵌入其它网站的链接 除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的.
<?php
//php防注入和XSS攻击通用过滤
$_GET && SafeFilter($_GET);
$_POST && SafeFilter($_POST);
$_COOKIE && SafeFilter($_COOKIE);
function SafeFilter (&$arr)
{
$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'
,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'
,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',
'/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'
,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
if (is_array($arr))
{
foreach ($arr as $key => $value)
{
if (!is_array($value))
{
if (!get_magic_quotes_gpc()) //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
{
$value = addslashes($value); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)
#加上反斜线转义
}
$value = preg_replace($ra,'',$value); //删除非打印字符,粗暴式过滤xss可疑字符串
$arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
}
else
{
SafeFilter($arr[$key]);
}
}
}
}
?>
$str = 'www.90boke.com<meta http-equiv="refresh" content="0;">';
SafeFilter ($str); //如果你把这个注释掉,提交之后就会无休止刷新
echo $str;//------------------------------php防注入和XSS攻击通用过滤-----Start--------------------------------------------//
function string_remove_xss($html) {
preg_match_all("/\<([^\<]+)\>/is", $html, $ms);
$searchs[] = '<';
$replaces[] = '<';
$searchs[] = '>';
$replaces[] = '>';
if ($ms[1]) {
$allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
$ms[1] = array_unique($ms[1]);
foreach ($ms[1] as $value) {
$searchs[] = "<".$value.">";
$value = str_replace('&', '_uch_tmp_str_', $value);
$value = string_htmlspecialchars($value);
$value = str_replace('_uch_tmp_str_', '&', $value);
$value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
$skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
$skipstr = implode('|', $skipkeys);
$value = preg_replace(array("/($skipstr)/i"), '.', $value);
if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
$value = '';
}
$replaces[] = empty($value) ? '' : "<" . str_replace('"', '"', $value) . ">";
}
}
$html = str_replace($searchs, $replaces, $html);
return $html;
}
//php防注入和XSS攻击通用过滤
function string_htmlspecialchars($string, $flags = null) {
if (is_array($string)) {
foreach ($string as $key => $val) {
$string[$key] = string_htmlspecialchars($val, $flags);
}
} else {
if ($flags === null) {
$string = str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string);
if (strpos($string, '&#') !== false) {
$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
}
} else {
if (PHP_VERSION < '5.4.0') {
$string = htmlspecialchars($string, $flags);
} else {
if (!defined('CHARSET') || (strtolower(CHARSET) == 'utf-8')) {
$charset = 'UTF-8';
} else {
$charset = 'ISO-8859-1';
}
$string = htmlspecialchars($string, $flags, $charset);
}
}
}
return $string;
}
//------------------php防注入和XSS攻击通用过滤-----End--------------------------------------------//PHP中的设置
PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
----------------------------------------------------- session.cookie_httponly = -----------------------------------------------------
设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:
<?php ini_set("session.cookie_httponly", 1);
// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:
<?php
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
?>相关推荐:PHP教程
위 내용은 PHP에서 XSS 크로스 사이트 스크립팅 공격을 방지하는 방법에 대해 이야기해 보세요.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7554
15
1382
52
83
11
59
19
28
96
PHP를 사용하여 XSS(교차 사이트 스크립팅) 공격으로부터 보호하는 방법
Jun 29, 2023 am 10:46 AM
PHP를 사용하여 XSS(교차 사이트 스크립팅) 공격을 방어하는 방법 인터넷의 급속한 발전과 함께 XSS(교차 사이트 스크립팅) 공격은 가장 일반적인 네트워크 보안 위협 중 하나입니다. XSS 공격은 주로 웹 페이지에 악성 스크립트를 삽입하여 사용자의 민감한 정보를 획득하고 사용자 계정을 도용하는 목적을 달성합니다. 사용자 데이터의 보안을 보호하려면 개발자는 XSS 공격을 방어하기 위한 적절한 조치를 취해야 합니다. 이 기사에서는 XSS 공격을 방어하기 위해 일반적으로 사용되는 몇 가지 PHP 기술을 소개합니다.
XSS 취약점은 어떻게 작동하나요?
Feb 19, 2024 pm 07:31 PM
XSS 공격의 원리는 무엇입니까? 인터넷의 대중화와 발전으로 인해 웹 애플리케이션의 보안이 점차 주목을 받고 있습니다. 그중 Cross-SiteScripting(줄여서 XSS)은 웹 개발자가 주의해야 할 일반적인 보안 취약점입니다. XSS 공격은 웹 페이지에 악성 스크립트 코드를 주입하고 이를 사용자의 브라우저에서 실행하는 방식으로 수행됩니다. 이를 통해 공격자는 사용자의 브라우저를 제어하고 사용자의 민감한 정보를 탈취할 수 있습니다.
PHP 데이터 필터링: XSS 및 CSRF 공격 방지
Jul 29, 2023 pm 03:33 PM
PHP 데이터 필터링: XSS 및 CSRF 공격 방지 인터넷이 발전하면서 네트워크 보안은 사람들의 관심의 초점 중 하나가 되었습니다. 웹 사이트 개발에서는 특히 XSS(교차 사이트 스크립팅 공격) 및 CSRF(교차 사이트 요청 위조 공격) 공격을 방지하기 위해 사용자가 제출한 데이터를 필터링하고 확인하는 것이 매우 중요합니다. 이 기사에서는 PHP를 사용하여 이러한 두 가지 일반적인 보안 취약점을 방지하는 방법을 설명하고 참조용 샘플 코드를 제공합니다. XSS 공격 방지 XSS 공격은 악의적인 공격자가 악의적인 스크립트나 코드를 주입하여 변조하는 것을 말합니다.
Go의 XSS(교차 사이트 스크립팅) 공격 예방: 모범 사례 및 팁
Jun 17, 2023 pm 12:46 PM
인터넷의 급속한 발전으로 인해 웹사이트 보안 문제는 온라인 세계에서 큰 문제가 되었습니다. XSS(교차 사이트 스크립팅) 공격은 웹사이트의 약점을 이용하여 웹페이지에 악성 스크립트를 삽입하여 사용자 정보를 도용하고 변조하는 일반적인 보안 취약점입니다. 효율적이고 안전한 프로그래밍 언어인 Go 언어는 XSS 공격을 방지하는 강력한 도구와 기술을 제공합니다. 이 기사에서는 Go 언어 개발자가 XSS 공격을 효과적으로 예방하고 해결하는 데 도움이 되는 몇 가지 모범 사례와 기술을 소개합니다. 모든 입력에 대해
보안 예방 조치 알아보기: PHP를 사용하여 XSS 공격 방지
Jun 22, 2023 am 08:48 AM
인터넷 시대에 웹 애플리케이션의 지속적인 인기와 발전으로 인젝션 공격과 XSS(Cross-Site Scripting Attack) 공격이 보안 예방 작업의 초점이 되었습니다. 그 중 XSS 공격은 공격자가 웹 페이지에 악성 스크립트를 삽입하여 수행됩니다. PHP는 서버 측 스크립트 언어로서 웹 개발에서 널리 사용됩니다. XSS 공격을 피하기 위해 PHP를 사용하는 방법은 개발자에게 필수 사항이 되었습니다. 올바른 질문입니다. 첫째, XSS 공격이 어떻게 구현되는지 이해하는 것이 XSS 공격을 예방하는 데 중요합니다. XSS
PHP 언어 개발에서 SQL 주입 및 XSS 공격을 피하는 방법은 무엇입니까?
Jun 09, 2023 pm 06:27 PM
인터넷이 점점 더 널리 사용됨에 따라 보안 문제가 점점 더 눈에 띄게 되고 있습니다. PHP 개발에서 SQL 주입과 XSS 공격은 가장 일반적인 두 가지 보안 문제입니다. 이 문서에서는 두 공격을 모두 방지하는 방법을 설명합니다. 1. SQL 인젝션이란? SQL 인젝션은 공격자가 웹 애플리케이션 취약점을 이용하여 SQL 명령어를 입력하여 데이터베이스 서버가 원래 설계 의도를 벗어난 방식으로 실행되도록 하는 것을 말합니다. 공격자는 이러한 취약점을 이용하여 데이터 읽기 및 쓰기, 관리자 권한 획득 등과 같은 악의적인 작업을 수행할 수 있습니다. 2. 피하는 방법
Java 개발의 일반적인 네트워크 보안 문제 및 솔루션
Oct 09, 2023 pm 06:36 PM
Java 개발 시 일반적인 네트워크 보안 문제 및 솔루션 요약: 인터넷이 대중화되면서 네트워크 보안 문제가 점점 더 두드러지고 있습니다. Java 개발 중에는 네트워크 통신의 보안을 보호하는 방법을 고려해야 합니다. 이 기사에서는 몇 가지 일반적인 네트워크 보안 문제를 소개하고 해당 솔루션과 코드 예제를 제공합니다. 1. 크로스 사이트 스크립팅 공격(XSS) XSS 공격은 웹 페이지에 악성 스크립트를 주입해 사용자의 민감한 정보를 탈취하는 공격 방식을 말한다. XSS 공격을 방지하기 위해 정기적인 입력 확인을 사용할 수 있습니다.
Nginx 정책 작성 방법: XSS 공격 방지
Jun 09, 2023 pm 09:55 PM
웹 기술이 지속적으로 발전하면서 보안 문제가 점점 더 중요해지고 있으며, 그중 XSS 공격이 매우 흔합니다. 공격자는 웹사이트에 코드를 삽입하여 사용자가 웹사이트를 탐색할 때 공격을 받도록 함으로써 개인정보를 유출하거나 피싱 사기를 저지릅니다. 따라서 현대 웹 개발에서는 XSS 공격을 방지하는 것이 기본 요구 사항이 되었습니다. XSS 공격을 방지하려면 Nginx 서버의 작업을 안내하는 몇 가지 정책을 작성해야 합니다. 이러한 전략에는 입력 확인, 출력 확인, C 등이 포함될 수 있습니다.
