php判断和过滤get或者post的html标签，防止跨站点脚本（XSS），链接注入，框架注入等攻击

作者：繁依Fanyi0 | 2024-02-28 15:48:55

踩

大部分网站都包含搜索功能，根据用户搜索的词去执行服务端的业务逻辑。如果一些黑客在搜索参数包含链接（a）、嵌入其他网页（iframe）、前端代码（script）等html字符，再加上服务端php不加任何处理去解析或者展示了用户请求的参数，就可能出现跨站点脚本（XSS），链接注入，框架注入等安全漏洞。

下面通过直接判断请求字符串是否包含html标记，去屏蔽非法请求，从而杜绝这类攻击。


// 搜索的php处理页面，如搜索关键词参数为s
$s = $_GET['s'];
if (preg_match('/<[^>]+>/', $s) || preg_match('/<[^>]+>/', htmlspecialchars_decode($s))) {
    // echo "搜索的关键词不能包含HTML标签";
    echo "非法参数";
    exit();
}
// 不包含HTML标签，后续继续原由的处理……

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/159950?site

php判断和过滤get或者post的html标签，防止跨站点脚本（XSS），链接注入，框架注入等攻击

HTML 颜色名