废话不多说,直接贴使用方法和代码:

使用方式:1)写在公共方法里面,随时调用即可。2)写入类文件,使用是include_once 即可

代码:

/* 进行安全字段和xss跨站脚本攻击过滤(通用版) -xzz  */

function escape($string) {

    global $_POST;

    $search = array (

        '/</i',

        '/>/i',

        '/\">/i',

        '/\bunion\b/i',

        '/load_file(\s*(\/\*.*\*\/)?\s*)+\(/i',

        '/into(\s*(\/\*.*\*\/)?\s*)+outfile/i',

        '/\bor\b/i',

        '/\<([\/]?)script([^\>]*?)\>/si',

        '/\<([\/]?)iframe([^\>]*?)\>/si',

        '/\<([\/]?)frame([^\>]*?)\>/si'

    );

    $replace = array (

        '&lt;',

        '&gt;',

        '&quot;&gt;',

        'union&nbsp;',

        'load_file&nbsp; (',

        'into&nbsp; outfile',

        'or&nbsp;',

        '&lt;\\1script\\2&gt;',

        '&lt;\\1iframe\\2&gt;',

        '&lt;\\1frame\\2&gt;'

    );

    if (is_array ( $string )) {

        $key = array_keys ( $string );

        $size = sizeof ( $key );

        for($i = 0; $i < $size; $i ++) {

            $string [$key [$i]] = escape ( $string [$key [$i]] );

        }

    } else {

        if (! $_POST ['stats_code'] && ! $_POST ['ad_type_code_content']) {

            $string = str_replace ( array (

                '\n',

                '\r'

            ), array (

                chr ( 10 ),

                chr ( 13 )

            ), preg_replace ( $search, $replace, $string ) );

            $string = remove_xss ( $string );

        } else {

            $string = $string;

        }

    }

    return $string;

}

function remove_xss($val) {

    $val = preg_replace ( '/([\x00-\x08\x0b-\x0c\x0e-\x19])/', '', $val );

    $search = 'abcdefghijklmnopqrstuvwxyz';

    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

    $search .= '1234567890!@#$%^&*()';

    $search .= '~`";:?+/={}[]-_|\'\\';

    for($i = 0; $i < strlen ( $search ); $i ++) {

        $val = preg_replace ( '/(&#[xX]0{0,8}' . dechex ( ord ( $search [$i] ) ) . ';?)/i', $search [$i], $val );

        $val = preg_replace ( '/(&#0{0,8}' . ord ( $search [$i] ) . ';?)/', $search [$i], $val );

    }

    $ra1 = array (

        'javascript',

        'vbscript',

        'expression',

        'applet',

        'meta',

        'xml',

        'blink',

        'script',

        'object',

        'iframe',

        'frame',

        'frameset',

        'ilayer',

        'bgsound'

    );

    $ra2 = array (

        'onabort',

        'onactivate',

        'onafterprint',

        'onafterupdate',

        'onbeforeactivate',

        'onbeforecopy',

        'onbeforecut',

        'onbeforedeactivate',

        'onbeforeeditfocus',

        'onbeforepaste',

        'onbeforeprint',

        'onbeforeunload',

        'onbeforeupdate',

        'onblur',

        'onbounce',

        'oncellchange',

        'onchange',

        'onclick',

        'oncontextmenu',

        'oncontrolselect',

        'oncopy',

        'oncut',

        'ondataavailable',

        'ondatasetchanged',

        'ondatasetcomplete',

        'ondblclick',

        'ondeactivate',

        'ondrag',

        'ondragend',

        'ondragenter',

        'ondragleave',

        'ondragover',

        'ondragstart',

        'ondrop',

        'onerror',

        'onerrorupdate',

        'onfilterchange',

        'onfinish',

        'onfocus',

        'onfocusin',

        'onfocusout',

        'onhelp',

        'onkeydown',

        'onkeypress',

        'onkeyup',

        'onlayoutcomplete',

        'onload',

        'onlosecapture',

        'onmousedown',

        'onmouseenter',

        'onmouseleave',

        'onmousemove',

        'onmouseout',

        'onmouseover',

        'onmouseup',

        'onmousewheel',

        'onmove',

        'onmoveend',

        'onmovestart',

        'onpaste',

        'onpropertychange',

        'onreadystatechange',

        'onreset',

        'onresize',

        'onresizeend',

        'onresizestart',

        'onrowenter',

        'onrowexit',

        'onrowsdelete',

        'onrowsinserted',

        'onscroll',

        'onselect',

        'onselectionchange',

        'onselectstart',

        'onstart',

        'onstop',

        'onsubmit',

        'onunload'

    );

    $ra = array_merge ( $ra1, $ra2 );

    $found = true;

    while ( $found == true ) {

        $val_before = $val;

        for($i = 0; $i < sizeof ( $ra ); $i ++) {

            $pattern = '/';

            for($j = 0; $j < strlen ( $ra [$i] ); $j ++) {

                if ($j > 0) {

                    $pattern .= '(';

                    $pattern .= '(&#[xX]0{0,8}([9ab]);)';

                    $pattern .= '|';

                    $pattern .= '|(&#0{0,8}([9|10|13]);)';

                    $pattern .= ')*';

                }

                $pattern .= $ra [$i] [$j];

            }

            $pattern .= '/i';

            $replacement = substr ( $ra [$i], 0, 2 ) . ' ' . substr ( $ra [$i], 2 );

            $val = preg_replace ( $pattern, $replacement, $val );

            if ($val_before == $val) {

                $found = false;

            }

        }

    }

    return $val;

}

3、亲测可用,拿去吧。

PHP进行安全字段和防止XSS跨站脚本攻击过滤(通用版)的更多相关文章

  1. php安全字段和防止XSS跨站脚本攻击过滤函数

    function escape($string) { global $_POST; $search = array ( '/</i', '/>/i', '/\">/i', ...

  2. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  3. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  4. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)

    转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...

  5. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  6. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  7. PHP漏洞全解(四)-xss跨站脚本攻击

    本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

  8. JAVA覆写Request过滤XSS跨站脚本攻击

    注:本文非本人原著. demo的地址:链接:http://pan.baidu.com/s/1miEmHMo 密码:k5ca 如何过滤Xss跨站脚本攻击,我想,Xss跨站脚本攻击令人为之头疼.为什么呢. ...

  9. xss跨站脚本攻击及xss漏洞防范

    xss跨站脚本攻击(Cross Site Scripting,因与css样式表相似故缩写为XSS).恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Scrip ...

随机推荐

  1. 怎样让你的APK跑在 com.android.phone 进程

    首先:为什么要跑在 com.android.phone 进程 这还用问,在同一个进程里就能够干非常多事情了这是黑客行为 为什么能跑在统一进程? Google 在设计 Dalivk 虚拟机的时候就考虑到 ...

  2. 字符串转换atof atoi atol gcvt strtod strtol strto ul toascii tolower toupper

    atof(将字符串转换成浮点型数) 相关函数 atoi,atol,strtod,strtol,strtoul 表头文件 #include <stdlib.h> 定义函数 double at ...

  3. 如何在Windows 7 或Vista中修改MTU

    Windows操作系统使用Maximum Transmission Unit (MTU) 来确定在下面的网络层上可以传输的协议数据包(protocol data packet)的最大尺寸. MTU参数 ...

  4. Android之ViewPager循环Demo

    ViewPager是谷歌官方提供的兼容低版本安卓设备的软件包,里面包含了只有在安卓3.0以上可以使用的api.Viewpager现在也算是标配了,如果一个App没有用到ViewPager感觉还是比较罕 ...

  5. IE浏览器报Promise未定义的错误、解决vuex requires a Promise polyfill in this browser问题

    一个vue-cli构建的vue项目,一个使用angular的项目,两个项目在其他浏览器一切正常,但是ie中会报Promise未定义的错误 解决办法: 一.vue的项目: 1.npm install b ...

  6. JavaScript事件代理和事件委托

    一.概述: 那什么叫事件委托呢?它还有一个名字叫事件代理,JavaScript高级程序设计上讲:事件委托就是利用事件冒泡,只指定一个事件处理程序,就可以管理某一类型的所有事件.那这是什么意思呢?网上的 ...

  7. Android -- uses-sdk:minSdkVersion 10 cannot be smaller than version L declared in library com.android.support:appcompat-v7:21.0.0-rc1

    这是一个报错,是我在Android Studio上添加完Support-v4和v7包之后爆出的错误,百度了好久也没有百度到.当时我的项目有minSdkVersion 19. 设置版本最小为L的时候也会 ...

  8. 【架构】SpringCloud 注册中心、负载均衡、熔断器、调用监控、API网关示例

    示例代码: https://github.com/junneyang/springcloud-demo 参考资料: SpringCloud系列 Eureka 一句话概括下spring框架及spring ...

  9. kettle利用参数遍历执行指定目录下的所有对象

    使用kettle设计ETL设计完成后,我们就需要按照我们业务的需要对我们设计好的ETL程序,ktr或者kjb进行调度,以实现定时定点的数据抽取,或者说句转换工作,我们如何实现调度呢? 场景:在/wor ...

  10. 【leetcode 桶排序】Maximum Gap

    1.题目 Given an unsorted array, find the maximum difference between the successive elements in its sor ...