下面这个方法不管是字符串还是数组,都可以进行过滤

/**

 * @purpose     : 对变量进行安全过滤,使 $_GET、$_POST、$q->record 等变量更安全

 * @author      : daicr

 * @time        : 2018-03-15

 * @param       : array $fArray 需要转换的数组

 * @return      :array $fArray 转换完成的数组

 */

function varFilter ($fArray) {

    if (is_array($fArray)) {

        foreach ( $fArray AS $_arrykey => $_arryval ) {

            if ( is_string($_arryval) ) {

                $fArray[$_arrykey] = trim($fArray[$_arrykey]);                                        // 去除左右两端空格

                $fArray[$_arrykey] = htmlspecialchars($fArray[$_arrykey]);                            // 将特殊字元转成 HTML 格式

                $fArray[$_arrykey] = strip_tags($fArray[$_arrykey]);                                  // 从字符串中去除 HTML 和 PHP 标记

                $fArray[$_arrykey] = str_replace('javascript', 'javascript ', $fArray[$_arrykey]);    // 禁止 javascript

                if (!get_magic_quotes_gpc()) {                                                        // 当 magic_quotes_gpc 设置为 OFF 时,特殊字符加转移符 \

                    $fArray[$_arrykey] = addslashes($fArray[$_arrykey]);

                }

            }else if (is_array($_arryval)){        // 如果是数组,递归调用

                $fArray[$_arrykey] = varFilter($_arryval);

            }

        }

    } else {

        $fArray = trim($fArray);                                    // 去除左右两端空格

        $fArray = htmlspecialchars($fArray);                        // 将特殊字元转成 HTML 格式

        $fArray = strip_tags($fArray);                              // 从字符串中去除 HTML 和 PHP 标记

        $fArray = str_replace("javascript", "javascript ", $fArray);// 禁止 javascript

        if (!get_magic_quotes_gpc()) {                                                        // 当 magic_quotes_gpc 设置为 OFF 时,特殊字符加转义符 \

            $fArray = addslashes($fArray);

        }

    }

    Return $fArray;

}

下面这个方法只用于过滤字符串中的一些特殊字符

/**

 * @purpose     :    字符串安全过滤函数,可过滤掉空格,*,",',;,<,>,{,},\,../,..,./,UNION等

 * @author        :    daicr

 * @time        :    2018-03-15

 * @param         :    string $string 需要进行过滤的字符串

 * @return         :    string $string 过滤完毕的字符串

 */

function strFilter($string) {

    $string = str_replace('%20','',$string);        // 过滤 空格

    $string = str_replace('%27','',$string);        // 过滤 '

    $string = str_replace('%2527','',$string);        // 过滤 '

    $string = str_replace('*','',$string);            // 过滤 *

    $string = str_replace('"','&quot;',$string);    // 将 " 转义为html实体

    $string = str_replace("'",'',$string);            // 过滤 '

    $string = str_replace('"','',$string);            // 过滤 "

    $string = str_replace(';','',$string);            // 过滤 ;

    $string = str_replace('<','&lt;',$string);        // 将 < 转义为html实体

    $string = str_replace('>','&gt;',$string);        // 将 > 转义为html实体

    $string = str_replace("{",'',$string);            // 过滤 {

    $string = str_replace('}','',$string);            // 过滤 }

    $string = str_replace('\\','',$string);            // 过滤

    $string = str_replace("../","",$str);            // 过滤 ../

    $string = str_replace("..","",$str);            // 过滤 ..

    $string = str_replace("./","",$str);            // 过滤 ./

    $string = str_ireplace("UNION","",$str);        // 忽略大小写过滤 UNION

    return $string;

}

对用户输入的字符串进行过滤,以防止 xss 攻击

变量安全过滤,防止xss攻击的更多相关文章

  1. PHP不过过滤防止xss攻击的方法

    PHP不过过滤防止xss攻击的方法<pre> $content=htmlspecialchars($content); $pos=strpos($content,"\u" ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. 特殊字符的过滤,防止xss攻击

    概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允 ...

  4. 过滤xss攻击和sql注入函数

    /**+----------------------------------------------------------* The goal of this function is to be a ...

  5. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  6. 文本XSS攻击过滤

    在FCK或百度编辑器等常用富文本编辑器中,通常是会被XSS攻击 处理方法: 文本框模拟输入了以下文本 <span style="dispaly:none" onclick=& ...

  7. 前端过滤XSS攻击

    日常开发过程中,对于存在用户交互的一些门户网站等,过滤xss攻击是必不可少的. 此处主要记录下我在工作过程中的简单处理方法. 前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:htt ...

  8. XSS攻击过滤处理

    关于XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中. XSS漏洞的危害 网络钓鱼,包括盗取各类用户账号: 窃取用户cooki ...

  9. 根据白名单过滤 HTML(防止 XSS 攻击)

    https://github.com/leizongmin/js-xss/blob/master/README.zh.md 根据白名单过滤 HTML(防止 XSS 攻击) xss是一个用于对用户输入的 ...

随机推荐

  1. python 在WINDOS虚拟环境部署

    #查看电脑的版本 C:\Users\lys>pip -V pip 8.1.1 from e:\python\python3.5\lib\site-packages (python 3.5) #安 ...

  2. C#Enum用Tuple保存值绑定到前端的CheckBox

    //把数字转成枚举 public static T[] NumStringsToEnums<T>(string enumNumString ) //where T:Enum { if (s ...

  3. 【C++ Primer 第13章】2. 拷贝控制和资源管理

    拷贝控制和资源管理 • 类的行为像一个值.意味着它应该有自己的状态,当我们拷贝一个像值得对象时,副本和原对象是完全独立的,改变副本不会对原对象有任何影响. • 行为像指针的类则共享状态.当我们拷贝一个 ...

  4. 一个kubeadm.config文件--定义了token,扩展了默认端口,外部ETCD集群,自定义docker仓库,基于ipvs的kubeproxy

    这个版本是基于kubeadm.k8s.io/v1alpha3的,如果到了beta1,可能还要变动呢. apiVersion: kubeadm.k8s.io/v1alpha3 kind: InitCon ...

  5. openresty用naxsi防xss、SQL注入

    下载naxsi wget https://github.com/nbs-system/naxsi/archive/untagged-afabfc163946baa8036f.tar.gz tar zx ...

  6. flink的流处理特性

    flink的流处理特性: 支持高吞吐.低延迟.高性能的流处理 支持带有事件时间的窗口(Window)操作 支持有状态计算的Exactly-once语义 支持高度灵活的窗口(Window)操作,支持基于 ...

  7. 删除了原有的offset之后再次启动会报错park Streaming from Kafka has error numRecords must not ...

          笔者使用Spark streaming读取Kakfa中的数据,做进一步处理,用到了KafkaUtil的createDirectStream()方法:该方法不会自动保存topic parti ...

  8. 关于window.open窗口的resize事件

    jQuery 事件 - resize() 方法 当调整浏览器窗口的大小时,发生 resize 事件. resize() 方法触发 resize 事件,或规定当发生 resize 事件时运行的函数. & ...

  9. maven里面pom文件的各标签介绍

    由于maven在工作中经常使用,但是平时要记的知识点有点多,偶尔回头来看一些东西难免忘记,特此整理一篇笔记,方便大家搜索查询,也方便自己以后查询! 后续碰见其他的标签也会进行更新! maven的pom ...

  10. Linux安装Tomcat-Nginx-FastDFS-Redis-Solr-集群——【第十二集之FastDFS的使用】

    (自己的项目路径)相关项目在web部分中priv.lirenhe.fastdfs 官方提供一个fastdfs开发项目,下载下来maven install 以下内容是借鉴网上的一篇文章,但是不知道网址了 ...