小女巫 发表于 2015-1-16 22:12:06

PHP网页设计php防备XSS打击,ajax跨域打击的办法

另外要叮嘱各位的是,抵御诱惑,ASP/PHP/JSP/.NET的对比也许会让你无所适从,你也许学了一半PHP,又开始打C#的主意,或者有人说JAVA很强,这个时候的你绝对不能动摇,哪怕你真想学。对网站动员XSS打击的体例有良多种,仅仅利用php的一些内置过滤函数是凑合不了的,即便你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都利用上了也纷歧定能包管相对的平安。
如今有良多php开辟框架都供应关于防XSS打击的过滤办法,上面和人人分享一个防备XSS打击和ajax跨域打击的函数,摘自某开辟框架,比拟于仅仅利用内置函数应当仍是够强了的吧。
functionxss_clean($data){//Fix&entity
;$data=str_replace(array(&,<,>),array(&,<,>),$data);$data=preg_replace(/(&#*w+)+;/u,$1;,$data);$data=preg_replace(/(&#x*+);*/iu,$1;,$data);$data=html_entity_decode($data,ENT_COMPAT,UTF-8);//Removeanyattributestartingwith"on"orxmlns$data=preg_replace(#(<[^>]+?)(?:onxmlns)[^>]*+>#iu,$1>,$data);//Removejavascript:andvbscript:protocols$data=preg_replace(#(*)*=*([`"]*)*j*a*v*a*s*c*r*i*p*t*:#iu,$1=$2nojavascript...,$data);$data=preg_replace(#(*)*=(["]*)*v*b*s*c*r*i*p*t*:#iu,$1=$2novbscript...,$data);$data=preg_replace(#(*)*=(["]*)*-moz-binding*:#u,$1=$2nomozbinding...,$data);//OnlyworksinIE:<spanstyle="width:expression(alert(Ping!));"></span>$data=preg_replace(#(<[^>]+?)style*=*[`"]*.*?expression*([^>]*+>#i,$1>,$data);$data=preg_replace(#(<[^>]+?)style*=*[`"]*.*?behaviour*([^>]*+>#i,$1>,$data);$data=preg_replace(#(<[^>]+?)style*=*[`"]*.*?s*c*r*i*p*t*:*[^>]*+>#iu,$1>,$data);//Removenamespacedelements(wedonotneedthem)$data=preg_replace(#</*w+:w[^>]*+>#i,,$data);//http://www.Alixixi.com/do{//Removereallyunwantedtags$old_data=$data;$data=preg_replace(#</*(?:appletb(?:asegsoundlink)embedframe(?:set)?i(?:framelayer)l(?:ayerink)metaobjects(?:cripttyle)titlexml)[^>]*+>#i,,$data);}while($old_data!==$data);//wearedone...return$data;}您大概感乐趣的文章


[*]通用的PHP防注进毛病打击的过滤函数代码
[*]PHP反省扫瞄器参数避免被SQL注进的函数
[*]php提取身份证号码中的诞辰日期和考证是不是为未成年人的函数
[*]jquery+html+php完成Ajax无革新文件上传
[*]避免网站被打击的举措
[*]smarty模板中利用php函数和smarty模板中怎样对一个变量利用多个函数
[*]php输入今天,明天,今天是礼拜几的办法
[*]壮大的PHP图片处置类(水印、通明度、缩放、锐化、扭转、翻转、剪切、反色)
对于PHP的语法结构,刚开始真的很不习惯,真搞不懂为什么每个变量之前都要加个“$”符号,每个语句写完之后都必须加上“分号”来表示此句已经结束,还有,PHP对字母的大小写是敏感的,写的时候一定要注意大小写的区别。

只想知道 发表于 2015-1-18 22:38:12

爱上php,他也会爱上你。

谁可相欹 发表于 2015-1-26 12:29:58

建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。

深爱那片海 发表于 2015-2-4 15:18:25

多看优秀程序员编写的代码,仔细理解他们解决问题的方法,对自身有很大的帮助。

莫相离 发表于 2015-2-10 02:57:07

首先声明:我是一个菜鸟,是一个初学者。学习了一段php后总是感觉自己没有提高,无奈。经过反思我认为我学习过程中存在很多问题,我改变了学习方法后自我感觉有了明显的进步。

兰色精灵 发表于 2015-2-28 17:52:23

做为1门年轻的语言,php一直很努力。

小妖女 发表于 2015-3-10 05:16:18

再就是混迹于论坛啦,咱们的phpchina的论坛就很强大,提出的问题一般都是有达人去解答的,以前的帖子也要多看看也能学到不少前辈们的经验。别的不错的论坛例如php100,javaeye也是很不错的。

老尸 发表于 2015-3-17 05:09:05

我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。

飘飘悠悠 发表于 2015-3-23 21:46:20

首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。
页: [1]
查看完整版本: PHP网页设计php防备XSS打击,ajax跨域打击的办法