仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 559|回复: 8
打印 上一主题 下一主题

[学习教程] PHP网页设计php防备XSS打击,ajax跨域打击的办法

[复制链接]
小女巫 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:12:06 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
另外要叮嘱各位的是,抵御诱惑,ASP/PHP/JSP/.NET的对比也许会让你无所适从,你也许学了一半PHP,又开始打C#的主意,或者有人说JAVA很强,这个时候的你绝对不能动摇,哪怕你真想学。对网站动员XSS打击的体例有良多种,仅仅利用php的一些内置过滤函数是凑合不了的,即便你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都利用上了也纷歧定能包管相对的平安。
如今有良多php开辟框架都供应关于防XSS打击的过滤办法,上面和人人分享一个防备XSS打击和ajax跨域打击的函数,摘自某开辟框架,比拟于仅仅利用内置函数应当仍是够强了的吧。
  1. functionxss_clean($data){//Fix&entity
  2. ;$data=str_replace(array(&,<,>),array(&,<,>),$data);$data=preg_replace(/(&#*w+)[x00-x20]+;/u,$1;,$data);$data=preg_replace(/(&#x*[0-9A-F]+);*/iu,$1;,$data);$data=html_entity_decode($data,ENT_COMPAT,UTF-8);//Removeanyattributestartingwith"on"orxmlns$data=preg_replace(#(<[^>]+?[x00-x20"])(?:onxmlns)[^>]*+>#iu,$1>,$data);//Removejavascript:andvbscript:protocols$data=preg_replace(#([a-z]*)[x00-x20]*=[x00-x20]*([`"]*)[x00-x20]*j[x00-x20]*a[x00-x20]*v[x00-x20]*a[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu,$1=$2nojavascript...,$data);$data=preg_replace(#([a-z]*)[x00-x20]*=(["]*)[x00-x20]*v[x00-x20]*b[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu,$1=$2novbscript...,$data);$data=preg_replace(#([a-z]*)[x00-x20]*=(["]*)[x00-x20]*-moz-binding[x00-x20]*:#u,$1=$2nomozbinding...,$data);//OnlyworksinIE:<spanstyle="width:expression(alert(Ping!));"></span>$data=preg_replace(#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`"]*.*?expression[x00-x20]*([^>]*+>#i,$1>,$data);$data=preg_replace(#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`"]*.*?behaviour[x00-x20]*([^>]*+>#i,$1>,$data);$data=preg_replace(#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`"]*.*?s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:*[^>]*+>#iu,$1>,$data);//Removenamespacedelements(wedonotneedthem)$data=preg_replace(#</*w+:w[^>]*+>#i,,$data);//http://www.Alixixi.com/do{//Removereallyunwantedtags$old_data=$data;$data=preg_replace(#</*(?:appletb(?:asegsoundlink)embedframe(?:set)?i(?:framelayer)l(?:ayerink)metaobjects(?:cripttyle)titlexml)[^>]*+>#i,,$data);}while($old_data!==$data);//wearedone...return$data;}
复制代码
您大概感乐趣的文章


  • 通用的PHP防注进毛病打击的过滤函数代码
  • PHP反省扫瞄器参数避免被SQL注进的函数
  • php提取身份证号码中的诞辰日期和考证是不是为未成年人的函数
  • jquery+html+php完成Ajax无革新文件上传
  • 避免网站被打击的举措
  • smarty模板中利用php函数和smarty模板中怎样对一个变量利用多个函数
  • php输入今天,明天,今天是礼拜几的办法
  • 壮大的PHP图片处置类(水印、通明度、缩放、锐化、扭转、翻转、剪切、反色)
对于PHP的语法结构,刚开始真的很不习惯,真搞不懂为什么每个变量之前都要加个“$”符号,每个语句写完之后都必须加上“分号”来表示此句已经结束,还有,PHP对字母的大小写是敏感的,写的时候一定要注意大小写的区别。
飘飘悠悠 该用户已被删除
9#
发表于 2015-3-23 21:46:20 | 只看该作者
首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。
老尸 该用户已被删除
8#
发表于 2015-3-17 05:09:05 | 只看该作者
我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。
小妖女 该用户已被删除
7#
发表于 2015-3-10 05:16:18 | 只看该作者
再就是混迹于论坛啦,咱们的phpchina的论坛就很强大,提出的问题一般都是有达人去解答的,以前的帖子也要多看看也能学到不少前辈们的经验。别的不错的论坛例如php100,javaeye也是很不错的。
兰色精灵 该用户已被删除
6#
发表于 2015-2-28 17:52:23 | 只看该作者
做为1门年轻的语言,php一直很努力。
莫相离 该用户已被删除
5#
发表于 2015-2-10 02:57:07 | 只看该作者
首先声明:我是一个菜鸟,是一个初学者。学习了一段php后总是感觉自己没有提高,无奈。经过反思我认为我学习过程中存在很多问题,我改变了学习方法后自我感觉有了明显的进步。
深爱那片海 该用户已被删除
地板
发表于 2015-2-4 15:18:25 | 只看该作者
多看优秀程序员编写的代码,仔细理解他们解决问题的方法,对自身有很大的帮助。
谁可相欹 该用户已被删除
板凳
发表于 2015-1-26 12:29:58 来自手机 | 只看该作者
建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。
只想知道 该用户已被删除
沙发
发表于 2015-1-18 22:38:12 | 只看该作者
爱上php,他也会爱上你。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-11-10 21:14

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表