- 1pandas的to_datetime只取日期或时刻_pandas datetime怎么只获取年月日
- 2基于卷积神经网络的MNIST手写数字数据库训练和识别(Matlab实现)_matlab mnist 识别
- 3使用dockerfile 构建自己的nacos-mysql_dockerfile mysql
- 4python图像处理-cv初学_cv::imshow网格线
- 5wiremock学习_wiremockserver
- 6mq4气体传感器流程图_气体传感器
- 7subprocess.CalledProcessError: Command ‘(‘lsb_release‘, ‘-a‘)‘ returned non-zero exit status 1._subprocess.calledprocesserror: command '('lsb_rele
- 8OpenCV、OpenCL、OpenGL、OpenPCL_opencl opengl
- 9Prompts(二)
- 10MFC基本控件使用——列表控件(ListCtrl)_mfc listctrl控件怎么只显示行线
防止SQL注入和XSS跨站攻击代码_加固 预防sql注入和跨站脚本的语句
赞
踩
这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:
a、防止SQL注入代码:
- //防止SQL注入 hxm_20140701 只对字符串有效
- function clean_SQLinject($string){
- if(!get_magic_quotes_gpc()){
- $string = mysql_real_escape_string($string);
- $string = addslashes($string);
- }
- $string = str_replace("_","\_",$string);
- $string = str_replace("%","\%",$string);
- return $string;
- }
b、防止XSS跨站攻击代码:
- //防止xss跨站攻击 hxm_20140701 数组或字符串都有效
- function clean_xss(&$string){
- if(!is_array($string)){
- $string = trim($string);
- $string = strip_tags($string);
- $string = htmlspecialchars($string);
- $string = str_replace (array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string);
- $no = '/%0[0-8bcef]/';
- $string = preg_replace ($no, '', $string);
- $no = '/%1[0-9a-f]/';
- $string = preg_replace ($no, '', $string);
- $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
- $string = preg_replace ($no, '', $string);
- return True;
- }
-
- $keys = array_keys($string);
- foreach($keys as $key){
- clean_xss($string[$key]);
- }
- }
c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:
d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:
- //对传过来的整个post数组进行SQL注入和XSS过滤 hxm_20140701
- function clean_post($post) {
- if(!get_magic_quotes_gpc()){ // 判断magic_quotes_gpc是否为打开
- $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
- }
- $post = str_replace("_", "\_", $post); // 把 '_'过滤掉
- $post = str_replace("%", "\%", $post); // 把 '%'过滤掉
- $post = nl2br($post); // 回车转换
- $post = htmlspecialchars($post); // html标记转换 防止xss
-
- return $post;
- }
备注(关于XSS):
1、php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).
4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.
