Security.class.php文件

 <?php

 class Security {

     public $filename_bad_chars =    array(

         '../', '<!--', '-->', '<', '>',

         "'", '"', '&', '$', '#',

         '{', '}', '[', ']', '=',

         ';', '?', '%20', '%22',

         '%3c',        // <

         '%253c',    // <

         '%3e',        // >

         '%0e',        // >

         '%28',        // (

         '%29',        // )

         '%2528',    // (

         '%26',        // &

         '%24',        // $

         '%3f',        // ?

         '%3b',        // ;

         '%3d'        // =

     );

     protected $_xss_hash =    '';

     protected $_never_allowed_str =    array(

         'document.cookie'    => '[removed]',

         'document.write'    => '[removed]',

         '.parentNode'        => '[removed]',

         '.innerHTML'        => '[removed]',

         '-moz-binding'        => '[removed]',

         '<!--'                => '&lt;!--',

         '-->'                => '--&gt;',

         '<![CDATA['            => '&lt;![CDATA[',

         '<comment>'            => '&lt;comment&gt;'

     );

     protected $_never_allowed_regex = array(

         'javascript\s*:',

         '(document|(document\.)?window)\.(location|on\w*)',

         'expression\s*(\(|&\#40;)', // CSS and IE

         'vbscript\s*:', // IE, surprise!

         'Redirect\s+302',

         "([\"'])?data\s*:[^\\1]*?base64[^\\1]*?,[^\\1]*?\\1?"

     );

     public function gprc_xss(){

         if($_POST)$_POST             = $this->xss_clean($_POST);

         if($_GET)$_GET               = $this->xss_clean($_GET);

         if($_COOKIE)$_COOKIE         = $this->xss_clean($_COOKIE);

         if($_REQUEST)$_REQUEST       = $this->xss_clean($_REQUEST);

     }

     public function remove_invisible_characters($str, $url_encoded = TRUE){

             $non_displayables = array();

             if ($url_encoded)  {

                 $non_displayables[] = '/%0[0-8bcef]/';    // url encoded 00-08, 11, 12, 14, 15

                 $non_displayables[] = '/%1[0-9a-f]/';    // url encoded 16-31

             }

             $non_displayables[] = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';    // 00-08, 11, 12, 14-31, 127

             do {

                 $str = preg_replace($non_displayables, '', $str, -1, $count);

             }

             while ($count);

             return $str;

     }

     public function xss_clean($str, $is_image = FALSE){

         if (is_array($str)){

             while (list($key) = each($str)){

                 $str[$key] = $this->xss_clean($str[$key]);

             }

             return $str;

         }

         $str = $this->_validate_entities($this->remove_invisible_characters($str));

         $str = rawurldecode($str);

         $str = preg_replace_callback("/[a-z]+=([\'\"]).*?\\1/si", array($this, '_convert_attribute'), $str);

         $str = preg_replace_callback('/<\w+.*/si', array($this, '_decode_entity'), $str);

         $str = $this->remove_invisible_characters($str);

         $str = str_replace("\t", ' ', $str);

         $converted_string = $str;

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE){

             $str = preg_replace('/<\?(php)/i', '&lt;?\\1', $str);

         }else    {

             $str = str_replace(array('<?', '?'.'>'), array('&lt;?', '?&gt;'), $str);

         }

         $words = array(

             'javascript', 'expression', 'vbscript', 'script', 'base64',

             'applet', 'alert', 'document', 'write', 'cookie', 'window'

         );

         foreach ($words as $word){

             $word = implode('\s*', str_split($word)).'\s*';

             $str = preg_replace_callback('#('.substr($word, 0, -3).')(\W)#is', array($this, '_compact_exploded_words'), $str);

         }

         do{

             $original = $str;

             if (preg_match('/<a/i', $str))$str = preg_replace_callback('#<a\s+([^>]*?)(?:>|$)#si', array($this, '_js_link_removal'), $str);

             if (preg_match('/<img/i', $str))$str = preg_replace_callback('#<img\s+([^>]*?)(?:\s?/?>|$)#si', array($this, '_js_img_removal'), $str);

             if (preg_match('/script|xss/i', $str))$str = preg_replace('#</*(?:script|xss).*?>#si', '[removed]', $str);

         }

         while ($original !== $str);

         unset($original);

         $str = $this->_remove_evil_attributes($str, $is_image);

         $naughty = 'alert|applet|audio|basefont|base|behavior|bgsound|blink|body|embed|expression|form|frameset|frame|head|html|ilayer|iframe|input|isindex|layer|link|meta|object|plaintext|style|script|textarea|title|video|xml|xss';

         $str = preg_replace_callback('#<(/*\s*)('.$naughty.')([^><]*)([><]*)#is', array($this, '_sanitize_naughty_html'), $str);

         $str = preg_replace('#(alert|cmd|passthru|eval|exec|expression|system|fopen|fsockopen|file|file_get_contents|readfile|unlink)(\s*)\((.*?)\)#si',    '\\1\\2(\\3)',    $str);

         $str = $this->_do_never_allowed($str);

         if ($is_image === TRUE)return ($str === $converted_string);

         return $str;

     }

     public function xss_hash(){

         if ($this->_xss_hash === '')$this->_xss_hash = md5(uniqid(mt_rand()));

         return $this->_xss_hash;

     }

     public function entity_decode($str, $charset = NULL){

         if (strpos($str, '&') === FALSE)return $str;

         if (empty($charset))$charset = 'utf-8';

         do{

             $matches = $matches1 = 0;

             $str = preg_replace('~(&#x0*[0-9a-f]{2,5});?~iS', '$1;', $str, -1, $matches);

             $str = preg_replace('~(&#\d{2,4});?~S', '$1;', $str, -1, $matches1);

             $str = html_entity_decode($str, ENT_COMPAT, $charset);

         }

         while ($matches OR $matches1);

         return $str;

     }

     public function sanitize_filename($str, $relative_path = FALSE){

         $bad = $this->filename_bad_chars;

         if ( ! $relative_path){

             $bad[] = './';

             $bad[] = '/';

         }

         $str = $this->remove_invisible_characters($str, FALSE);

         do{

             $old = $str;

             $str = str_replace($bad, '', $str);

         }while ($old !== $str);

         return stripslashes($str);

     }

     public function strip_image_tags($str){

         return preg_replace(array('#<img[\s/]+.*?src\s*=\s*["\'](.+?)["\'].*?\>#', '#<img[\s/]+.*?src\s*=\s*(.+?).*?\>#'), '\\1', $str);

     }

     protected function _compact_exploded_words($matches){

         return preg_replace('/\s+/s', '', $matches[1]).$matches[2];

     }

     protected function _remove_evil_attributes($str, $is_image){

         $evil_attributes = array('style', 'xmlns', 'formaction');

         if ($is_image === TRUE)unset($evil_attributes[array_search('xmlns', $evil_attributes)]);

         do {

             $count = 0;

             $attribs = array();

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*(\042|\047)([^\\2]*?)(\\2)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             preg_match_all('/('.implode('|', $evil_attributes).')\s*=\s*([^\s>]*)/is', $str, $matches, PREG_SET_ORDER);

             foreach ($matches as $attr){

                 $attribs[] = preg_quote($attr[0], '/');

             }

             if (count($attribs) > 0)$str = preg_replace('/(<?)(\/?[^><]+?)([^A-Za-z<>\-])(.*?)('.implode('|', $attribs).')(.*?)([\s><]?)([><]*)/i', '$1$2 $4$6$7$8', $str, -1, $count);

         }

         while ($count);

         return $str;

     }

     protected function _sanitize_naughty_html($matches)    {

         return '&lt;'.$matches[1].$matches[2].$matches[3].str_replace(array('>', '<'), array('&gt;', '&lt;'), $matches[4]);

     }

     protected function _js_link_removal($match){

         return str_replace($match[1],

                     preg_replace('#href=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|data\s*:)#si',

                             '',    $this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))    ),$match[0]);

     }

     protected function _js_img_removal($match){

         return str_replace($match[1],

                     preg_replace('#src=.*?(?:alert\(|alert&\#40;|javascript:|livescript:|mocha:|charset=|window\.|document\.|\.cookie|<script|<xss|base64\s*,)#si',

                             '',$this->_filter_attributes(str_replace(array('<', '>'), '', $match[1]))

                     ),

                     $match[0]);

     }

     protected function _convert_attribute($match){

         return str_replace(array('>', '<', '\\'), array('&gt;', '&lt;', '\\\\'), $match[0]);

     }

     protected function _filter_attributes($str){

         $out = '';

         if (preg_match_all('#\s*[a-z\-]+\s*=\s*(\042|\047)([^\\1]*?)\\1#is', $str, $matches)){

             foreach ($matches[0] as $match){

                 $out .= preg_replace('#/\*.*?\*/#s', '', $match);

             }

         }

         return $out;

     }

     protected function _decode_entity($match){

         return $this->entity_decode($match[0], strtoupper('utf-8'));

     }

     protected function _validate_entities($str){

         $str = preg_replace('|\&([a-z\_0-9\-]+)\=([a-z\_0-9\-]+)|i', $this->xss_hash().'\\1=\\2', $str);

         $str = preg_replace('#(&\#?[0-9a-z]{2,})([\x00-\x20])*;?#i', '\\1;\\2', $str);

         $str = preg_replace('#(&\#x?)([0-9A-F]+);?#i', '\\1\\2;', $str);

         return str_replace($this->xss_hash(), '&', $str);

     }

     protected function _do_never_allowed($str){

         $str = str_replace(array_keys($this->_never_allowed_str), $this->_never_allowed_str, $str);

         foreach ($this->_never_allowed_regex as $regex){

             $str = preg_replace('#'.$regex.'#is', '[removed]', $str);

         }

         return $str;

     }

     /**

      * @desc: 暂时不用

      * */

     public function gprc_sql(){

         if(!get_magic_quotes_gpc()) {

             if($_POST)    $_POST      =  $this->daddslashes($_POST);

             if($_GET)     $_GET       =  $this->daddslashes($_GET);

             if($_COOKIE)  $_COOKIE    =  $this->daddslashes($_COOKIE);

             if($_REQUEST) $_REQUEST   =  $this->daddslashes($_REQUEST);

         }

     }

     public function daddslashes($string){

         if(!is_array($string)) return addslashes($string);

         foreach($string as $key => $val) $string[$key] =  $this->daddslashes($val);

         return $string;

     }

 }

调用方式:

$SEC = new Security();
$SEC->gprc_xss();
$SEC = NULL;

XSS安全处理的更多相关文章

  1. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  2. XSS

    XSS的含义 XSS(Cross Site Scripting)即跨站脚本.跨站的主要内容是在脚本上. 跨站脚本 跨站脚本的跨,体现了浏览器的特性,可以跨域.所以也就给远程代码或者第三方域上的代码提供 ...

  3. 【XSS】延长 XSS 生命期

    XSS 的本质仍是一段脚本.和其他文档元素一样,页面关了一切都销毁.除非能将脚本蔓延到页面以外的地方,那样才能获得更长的生命力. 庆幸的是,从 DOM 诞生的那一天起,就已为我们准备了这个特殊的功能, ...

  4. 探索ASP.NET MVC5系列之~~~2.视图篇(上)---包含XSS防御和异步分部视图的处理

    其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/dunitian/p/4822808.ht ...

  5. XSS分析及预防

    XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行.在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息 ...

  6. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  7. xss和sql注入原理学习

    8.4 Web跨站脚本攻击 8.4.1  跨站脚本攻击的原理(1) 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS.但是,由于层叠样式表 (Cascading Style ...

  8. XSS 前端防火墙 —— 整装待发

    到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程 ...

  9. XSS 前端防火墙 —— 天衣无缝的防护

    上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面. 到目前为止,我们防护的深度已经差不多,但广度还有所欠缺. 例如,我们的属性钩子只考虑了 setAttribut ...

  10. XSS 前端防火墙 —— 无懈可击的钩子

    昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了: 静态模块:使用 MutationObserver 扫描. 动态模块:通过 API 钩子来拦截路径属性. ...

随机推荐

  1. fastjson生成json时Null属性不显示 (转)

    http://blog.csdn.net/u010648555/article/details/51422340 null对应的key已经被过滤掉:这明显不是我们想要的结果,这时我们就需要用到fast ...

  2. linux ps 命令的查看

    linux ps 命令的结果中VSZ,RSS,STAT的含义和大小 ps是linux系统的进程管理工具,相当于windows中的资源管理器的一部分功能. 一般来说,ps aux命令执行结果的几个列的信 ...

  3. 将iPhone投影到Mac上

    将iPhone投影到Mac上 有时候, 出于演示须要, 又或者嫌弃iPhone屏幕太小了, 我想把画面弄到mac上. 这时候, 就须要将iPhone投影到Mac上. 至于怎样做呢? 这就是本文要说明的 ...

  4. 无脑抢标——算了吧

    第一版时,我对拍拍贷是恐惧的,缓解我的恐惧的方法,就是寻找尽可能安全的方案.然后,我就发现了这个策略:超过信用等级普通利率的标的.A标一般16,B一般18--那我就寻找大于16的A,大于18的B,C我 ...

  5. 【Nodejs】外研社一年级起各年级英语音频下载(缺456年级上)

    在 https://news.21cnjy.com/A/130/235/V729768.shtml 有各年级英语音频下载,用爬虫把能下的都下了,除了四五六年级上册的. 爬虫 http://www.cn ...

  6. 史上最全面的Buffalo WHR-G300N CH v2 刷OpenWrt教程

    Buffalo WHR-G300N CH v2 刷OpenWrt.有两种办法.一种是Windows下刷.一种是在linux下使用tftp刷.Buffalo WHR-G300N-CH v2的openwr ...

  7. windows下用qemu搭建android

    1.下载Qemu for windows 版本为qemu-0.9.0-windows 2.下载qemuwith-kqemu-support 安装kqemu的目的就是为了加快qemu的子系统运行速度.在 ...

  8. 2012年5月阿里巴巴集团”去 IOE”运动的思考与总结【转载+整理】

    原文地址 什么是 IOE,IOE 只是一个简称,分别代表 IBM.Oracle.EMC,确切地说是 IBM 小型机.Oracle 数据库与 EMC 存储设备的组合.这"三驾马车"构 ...

  9. oracle expdp/impdp 用法详解

    http://hi.baidu.com/hzfsai/item/4a4b3fc4b1cf7e51ad00efbd oracle expdp/impdp 用法详解 Data Pump 反映了整个导出/导 ...

  10. android中去掉ListView控件中的分割线

    通过设置android:divider="@null" ,可以去掉ListView控件中的分割线 也可以自定义分割线的颜色,比如: <ListView android:id= ...