对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips
1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引号过滤必须要重点注意
7. 除去不必要的 HTML 注释
8. Exploer 求你放过我吧……
方法一,利用php htmlentities函数
例子
php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化如何的引号,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
方法二,什么也不多说我们给一个函数
例子
代码如下 | 复制代码 |
function xss_clean($data){ |
例子
最简单的方法利用php自带的htmlspecialchars函数 将字符内容转化为html实体
代码如下 | 复制代码 |
<?php |
例子
对 htmlspecialchars 函数的封装的同时还替换一些己知可能有危险的字符
代码如下 | 复制代码 |
/** //www.111cn.net下面是从CI里拿过来的 |
这里提供一个过滤非法脚本的函数:
代码如下 | 复制代码 |
function RemoveXSS($val) { // straight replacements, the user should never need these since they're normal characters // @ @ search for the hex values // now the only www.111Cn.net remaining whitespace attacks are , , and $found = true; // keep replacing as long as the previous round replaced something |
最后面这个函数主要是用到了国外一些高手写了,对己知危险的函数知道的更多了,所以我们把它全放进去然后进行替换操作了。
还有一点一聚教程小编得提醒你的是有些朋友使用htmlentities()来过滤了,这个函数默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行哦,所以得想办法解决呀。
大家都知道,运行动态网页,是需要相关的环境支持才行,所以不管你是学习php,还是做php的工作,都必须要安装php运行环境。
运行php的环境很多,windows下有 apache+php+mysql 和 iis+php+mysql,linux下有 apache+php+mysql 。后者别无选择,前者就多了。
我们平时的学习和工作大多还是用的windows系统,当配置环境时,网上一搜,php集成环境一大片。那么使用php集成环境好吗?是应该使用集成环境呢还是一步步亲自安装原生态的好呢?
下面以我个人经验分析一下它们的区别。
学习性上:
安装原生版的可以让你学习怎么配置apache+php+mysql 或 iis+php+mysql,这样也能让你更了解它们的工作原理,以至于后期能熟悉的配置出自己所需的个性化环境。集成环境的话,什么都帮你做好了,即使用过很久后,也不太知道底层的工作原理,一旦出现问题,你还是会不知所措。
稳定性上:
我记得刚开始学习php的时候,总觉得安装php环境很难,不是这里没到位就是那里弄错了。然后就百度一下,php集成环境。我用过WampServer和APMServ,刚开始觉得还好,用久了发现总是容易出问题,特别是APMServ,经常遇到mysql无法启动的情况。后来,工作的需要,便学着去安装php原生态的环境,学会了才发现,其实安装很简单,网上一搜,图文教程一大把,所以安装起来并不难,而且一次学习、学会,终生受益,何乐而不为呢?从这以后我就一直在用,从未出现问题过,而且经常会去根据需求改一些配置,现在对一些基本的东西已经非常熟悉了。
所以,我个人之见,如果是满足一时之需的话,比如在别人电脑上为了快捷可以去安装php集成环境,如果是自己学习和工作,那么尽量尝试配置原生版的。
网站给机器发重复内容重复注册己经不是什么希事了,我们只要有注册页面或者是评论页面就会有这种问题出现了,下面我找了两个例子大家一起看看。
网站开放注册的时候有一些渣渣就喜欢乱搞我们的网站。使我们站长们 都是蛋疼无比。所以就去百度找了找防止恶意注册。一般都是加验证码。但是会网页的人一般都是在你的要提交的那个页面利用url传参数。在写入数据的文件没有写好 就很容易被利用了! 所以我得出了2个解决方法
例子、
1.在提交的时候获取客户端IP 在IP第二次访问或者第三次提交数据的时候视为恶意提交
2.使用session访问2次或者3次 视为恶意注册
以下是代码:
代码如下 | 复制代码 |
<?php |
当然这个办法也不是很好的。但是目前就感觉这个比较好了
例子、
比较高级的办法RSA算法进行加密通讯 .
avascript部分代码(with jQuery)
代码如下 | 复制代码 |
$(document).ready(function(){
|
PHP部分代码
代码如下 | 复制代码 |
/**
|
其中密钥的获取是关键(其他难点已经被从代码中解决)
下面来给大家分享两个关于php威盾解密的例子,一个是批量解密一个是超级算法的解密都非常的好,大家有举的进入参考。例子,批量解密
代码如下 | 复制代码 |
<?php //decode("Image.class.php"); function explorerdir($dir) //echo "-".$path."n"; //输出文件名 echo decode($path); } } function decode($filename="") if(pathinfo($filename, PATHINFO_EXTENSION)!="php" || strpos($filename,".bak.php") || realpath($filename) == __FILE__ ){return;} //$filename="intro.class.php";//要解密的文件 if(!file_exists($filename)) } $lines = file($filename);//0,1,2行 //第一次base64解密 } //直接还原密文输出 if(!file_exists($filenamebak)){ if(rename($filename,$filenamebak)) if(!file_exists($filename) && file_exists($filenamebak))//文件被更改成功 $fp = fopen($filename,"w"); } } }else{ //return("备份文件".$filenamebak."已存在,停止解密。"); } } function weidun_log($s = true,$c ="") if($s) } |
例子,一个强人的加密做法
代码如下 | 复制代码 |
<?php |