下面这个方法不管是字符串还是数组,都可以进行过滤

/**

 * @purpose     : 对变量进行安全过滤,使 $_GET、$_POST、$q->record 等变量更安全

 * @author      : daicr

 * @time        : 2018-03-15

 * @param       : array $fArray 需要转换的数组

 * @return      :array $fArray 转换完成的数组

 */

function varFilter ($fArray) {

    if (is_array($fArray)) {

        foreach ( $fArray AS $_arrykey => $_arryval ) {

            if ( is_string($_arryval) ) {

                $fArray[$_arrykey] = trim($fArray[$_arrykey]);                                        // 去除左右两端空格

                $fArray[$_arrykey] = htmlspecialchars($fArray[$_arrykey]);                            // 将特殊字元转成 HTML 格式

                $fArray[$_arrykey] = strip_tags($fArray[$_arrykey]);                                  // 从字符串中去除 HTML 和 PHP 标记

                $fArray[$_arrykey] = str_replace('javascript', 'javascript ', $fArray[$_arrykey]);    // 禁止 javascript

                if (!get_magic_quotes_gpc()) {                                                        // 当 magic_quotes_gpc 设置为 OFF 时,特殊字符加转移符 \

                    $fArray[$_arrykey] = addslashes($fArray[$_arrykey]);

                }

            }else if (is_array($_arryval)){        // 如果是数组,递归调用

                $fArray[$_arrykey] = varFilter($_arryval);

            }

        }

    } else {

        $fArray = trim($fArray);                                    // 去除左右两端空格

        $fArray = htmlspecialchars($fArray);                        // 将特殊字元转成 HTML 格式

        $fArray = strip_tags($fArray);                              // 从字符串中去除 HTML 和 PHP 标记

        $fArray = str_replace("javascript", "javascript ", $fArray);// 禁止 javascript

        if (!get_magic_quotes_gpc()) {                                                        // 当 magic_quotes_gpc 设置为 OFF 时,特殊字符加转义符 \

            $fArray = addslashes($fArray);

        }

    }

    Return $fArray;

}

下面这个方法只用于过滤字符串中的一些特殊字符

/**

 * @purpose     :    字符串安全过滤函数,可过滤掉空格,*,",',;,<,>,{,},\,../,..,./,UNION等

 * @author        :    daicr

 * @time        :    2018-03-15

 * @param         :    string $string 需要进行过滤的字符串

 * @return         :    string $string 过滤完毕的字符串

 */

function strFilter($string) {

    $string = str_replace('%20','',$string);        // 过滤 空格

    $string = str_replace('%27','',$string);        // 过滤 '

    $string = str_replace('%2527','',$string);        // 过滤 '

    $string = str_replace('*','',$string);            // 过滤 *

    $string = str_replace('"','&quot;',$string);    // 将 " 转义为html实体

    $string = str_replace("'",'',$string);            // 过滤 '

    $string = str_replace('"','',$string);            // 过滤 "

    $string = str_replace(';','',$string);            // 过滤 ;

    $string = str_replace('<','&lt;',$string);        // 将 < 转义为html实体

    $string = str_replace('>','&gt;',$string);        // 将 > 转义为html实体

    $string = str_replace("{",'',$string);            // 过滤 {

    $string = str_replace('}','',$string);            // 过滤 }

    $string = str_replace('\\','',$string);            // 过滤

    $string = str_replace("../","",$str);            // 过滤 ../

    $string = str_replace("..","",$str);            // 过滤 ..

    $string = str_replace("./","",$str);            // 过滤 ./

    $string = str_ireplace("UNION","",$str);        // 忽略大小写过滤 UNION

    return $string;

}

对用户输入的字符串进行过滤,以防止 xss 攻击

变量安全过滤,防止xss攻击的更多相关文章

  1. PHP不过过滤防止xss攻击的方法

    PHP不过过滤防止xss攻击的方法<pre> $content=htmlspecialchars($content); $pos=strpos($content,"\u" ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. 特殊字符的过滤,防止xss攻击

    概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允 ...

  4. 过滤xss攻击和sql注入函数

    /**+----------------------------------------------------------* The goal of this function is to be a ...

  5. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  6. 文本XSS攻击过滤

    在FCK或百度编辑器等常用富文本编辑器中,通常是会被XSS攻击 处理方法: 文本框模拟输入了以下文本 <span style="dispaly:none" onclick=& ...

  7. 前端过滤XSS攻击

    日常开发过程中,对于存在用户交互的一些门户网站等,过滤xss攻击是必不可少的. 此处主要记录下我在工作过程中的简单处理方法. 前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:htt ...

  8. XSS攻击过滤处理

    关于XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中. XSS漏洞的危害 网络钓鱼,包括盗取各类用户账号: 窃取用户cooki ...

  9. 根据白名单过滤 HTML(防止 XSS 攻击)

    https://github.com/leizongmin/js-xss/blob/master/README.zh.md 根据白名单过滤 HTML(防止 XSS 攻击) xss是一个用于对用户输入的 ...

随机推荐

  1. 20165323 预备作业3 Linux安装及学习

    一.Linux安装 首先我按照老师所给的步骤下载了VirtualBox 5.2.6和Ubuntu 16.04.3.有流程下载很简单,但是在下载的过程中还是出现了一些问题. 1.VirtualBox 只 ...

  2. 矩阵乘法的运算量计算(华为OJ)

    题目地址: https://www.nowcoder.com/practice/15e41630514445719a942e004edc0a5b?tpId=37&&tqId=21293 ...

  3. Java数据类型Stack栈、Queue队列、数组队列和循环队列的比较

    判断括号是否匹配:调用java本身 import java.util.Stack; public class Solution { public boolean isValid(String s){ ...

  4. 一脸懵逼搭建Zookeeper分布式集群

    1:首先将http://zookeeper.apache.org/ 下载好的zookeeper-3.4.5.tar.gz上传到三台虚拟机上,之前博客搭建好的(安装Zookeeper之前记得安装好你的j ...

  5. PHP Fatal error: SOAP-ERROR: Parsing WSDL: Couldn't load from 'http://xxxx.wsdl'

    libxml_disable_entity_loader(false); $client = new \SoapClient($wsdl); 完美解决办法加上 php的soap扩展是否安装  open ...

  6. RequireJS跨域加载html模版后被转成JS问题分析及解决

    问题描述 RequireJS跨域加载HTML模版失败,例如: 在a.com域名下请求CDN域名下的模版,text.js插件会把html文件转成html.js文件去加载,由于并没有生成html.js文件 ...

  7. 【Android】ContentValues的用法

    ContentValues 和HashTable类似都是一种存储的机制 但是两者最大的区别就在于,contenvalues只能存储基本类型的数据,像string,int之类的,不能存储对象这种东西,而 ...

  8. jquery开发插件提供的几种方法

    http://caibaojian.com/jquery-extend-and-jquery-fn-extend.html

  9. Mex-hdu4747(DP)

    链接:http://acm.hdu.edu.cn/showproblem.php?pid=4747 题目大意:给一个含有n个数的序列 ns[1~n],定义函数 mex(l,r)为区间 [l,r] 中未 ...

  10. Java 之 XML

    1.XML a.定义:可扩展标记语言 b.用途:现在主要用来以一种格式化的形式来存储数据 c.注意:XML中是区分大小写的 2.DTD a.定义:文档类型定义 b.作用:定义 XML 文档的合法构建模 ...