什么XSS攻击?PHP防止XSS攻击函数
发布时间: 2013-05-14 浏览次数:22325 分类: PHP教程
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!
看看常见的恶意字符XSS 输入:
1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>
2.XSS 输入也可能是 HTML 代码段,譬如:
(1).网页不停地刷新 <meta http-equiv="refresh" content="0;">
(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>
防止XSS攻击测试路径:
其实有很多测试XSS攻击的工具:
- Paros proxy (http://www.parosproxy.org)
- Fiddler (http://www.fiddlertool.com/fiddler)
- Burp proxy (http://www.portswigger.net/proxy/)
- TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)
对于PHP开发者来说,如何去防范XSS攻击呢?(php防止xss攻击的函数)
可以用如下函数:
- <?PHP
- /**
- * @blog http://www.phpddt.com
- * @param $string
- * @param $low 安全别级低
- */
- function clean_xss(&$string, $low = False)
- {
- if (! is_array ( $string ))
- {
- $string = trim ( $string );
- $string = strip_tags ( $string );
- $string = htmlspecialchars ( $string );
- if ($low)
- {
- return True;
- }
- $string = str_replace ( array ('"', "\", "'", "/", "..", "../", "./", "//" ), '', $string );
- $no = '/%0[0-8bcef]/';
- $string = preg_replace ( $no, '', $string );
- $no = '/%1[0-9a-f]/';
- $string = preg_replace ( $no, '', $string );
- $no = '/[x00-x08x0Bx0Cx0E-x1Fx7F]+/S';
- $string = preg_replace ( $no, '', $string );
- return True;
- }
- $keys = array_keys ( $string );
- foreach ( $keys as $key )
- {
- clean_xss ( $string [$key] );
- }
- }
- //just a test
- $str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
- clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
- echo $str;
- ?>
- 通过clean_xss()就过滤了恶意内容!