随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。
很多网站都存在跨站脚本攻击漏洞,让黑客有机可乘.跨站攻击很容易就可以构造,而且非常隐蔽,不易被查觉(通常盗取信息后马上跳转回原页面)。本文主要介绍如何防范。
首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities()函数 。
<?php
$str = "A "quote" is <b>bold</b>";
// Outputs: A "quote" is bold
echo htmlentities($str);
// Outputs: A "quote" is bold
echo htmlentities($str, ENT_QUOTES);
?>
这样可以使非法的脚本失效。
但是要注意一点,htmlentities()默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。
以下是一个过滤非法脚本的函数,仅供参考:
function RemoveXSS($val) {
// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
// this prevents some character re-spacing such as <javascript>
// note that you have to handle splits with , , and later since they *are* allowed in some inputs
$val = preg_replace("/([x00-x08][x0b-x0c][x0e-x20])/", "", $val);
// straight replacements, the user should never need these since they"re normal characters
// this prevents like <IMG SRC=@avascript:a&
_#X6Cert('XSS')>
$search = "abcdefghijklmnopqrstuvwxyz";
$search .= "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$search .= "1234567890!@#$%^&*()";
相关文章
相关软件
2345安全卫士最新官方版
2345安全卫士官方版 | 45.34MB
2345安全卫士是集电脑体检、木马查杀、垃圾清理、修复系统漏洞、系统加速、软件管理等功能为一体的电脑安全管理的软件.提供全方位检测,用户可以通过检测结果快速了解自己的电脑并且对电脑进行优化..
360杀毒软件官方正式版
360杀毒软件官方正式版 | 35.10MB
360杀毒具有查杀率高、资源占用少、升级迅速等优点。零广告、零打扰、零胁迫,一键扫描,快速、全面地诊断系统安全状况和健康程度,并进行精准修复,带来安全、专业、有效、新颖的查杀防护体验...
360安全卫士最新版下载
360安全卫士最新版下载 | 50.3MB
360安全卫士是一款由奇虎360公司推出的功能强、效果好、受用户欢迎的安全杀毒软件。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检、电脑救援、保护隐私,电脑专家,清理垃圾,清理痕迹...
QQ电脑管家官方正式版
QQ电脑管家官方正式版 | 24.2MB
腾讯电脑管家(Tencent PC Manager/原名QQ电脑管家)是腾讯公司推出的免费安全软件。拥有云查杀木马,系统加速,漏洞修复,实时防护,网速保护,电脑诊所,健康小助手...
金山毒霸2022最新版下载
金山毒霸2022下载 | 37MB
金山毒霸融合了启发式搜索、代码分析、虚拟机查毒等技术。经业界证明成熟可靠的反病毒技术,以及丰富的经验,使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到世界先进水平...
猎豹清理大师官方版下载
猎豹清理大师下载 | 47.4MB
猎豹清理大师(原金山清理大师)是由金山网络开发的智能手机应用。它可以清理智能手机上的应用缓存、残余程序文件、历史痕迹以及应用程序安装包...
