PHP 输入文本防止攻击 input xss clear

016311
function xss_clean($data)
{
    $datadirty = $data;
    // Fix &entity\n;
    $data = str_replace(array('&', '<', '>'), array('&amp;', '&lt;', '&gt;'), $data);
    $data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
    $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
    $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');

    // Remove any attribute starting with "on" or xmlns
    $data = preg_replace('#(<[^>]+?[\x00-\x20"\'/])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);

    // Remove javascript: and vbscript: protocols
    $data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu',
        '$1=$2nojavascript...', $data);
    $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu',
        '$1=$2novbscript...', $data);
    $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u',
        '$1=$2nomozbinding...', $data);

    // Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
    $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>',
        $data);
    $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>',
        $data);
    $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu',
        '$1>', $data);

    // Remove namespaced elements (we do not need them)
    $data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);

    do {
        // Remove really unwanted tags
        $old_data = $data;
        $data     = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i',
            '', $data);
    } while ($old_data !== $data);

    // we are done...
    // if($datadirty !== $data) debugLog("string cleaned: removed ". (strlen($datadirty) - strlen($data)) .' chars');
    return $data;
}
PHP 输入文本防止攻击 input xss clear
© 版权声明
文章未经允许请勿转载。
THE END
PHP
# xss
喜欢就支持一下吧
点赞11 分享
相关推荐
[PHP类]使用PHP将JPEG和PNG转换为WebP-小七笔记
[PHP类]使用PHP将JPEG和PNG转换为WebP
[PHP类]使用PHP将JPEG和PNG转换为WebP
10个月前 326
[PHP库]在图像上添加文字或图像水印-小七笔记
[PHP库]在图像上添加文字或图像水印
[PHP库]在图像上添加文字或图像水印
10个月前 271
PHP判断是否为空的5种方法-小七笔记
PHP判断是否为空的5种方法
PHP判断是否为空的5种方法
10个月前 247
php PDO数据库类库-小七笔记
php PDO数据库类库
php PDO数据库类库
10个月前 231
PHP替换html代码里的所有图片的url,新增url-小七笔记
PHP替换html代码里的所有图片的url,新增url
PHP替换html代码里的所有图片的url,新增url
10个月前 228
PHP 日期、时间、字节转换-小七笔记
PHP 日期、时间、字节转换
PHP 日期、时间、字节转换
10个月前 216
评论 抢沙发

请登录后发表评论

    blank

    暂无评论内容

归档

搜索
开启精彩搜索
热门文章
【黑苹果安装教程】macOS 12 Monterey 原版 OC引导-小七笔记
4930人已阅读
【黑苹果安装教程】macOS 12 Monterey 原版 OC引导
TOP1
小店随心推 巨量千川 DOU+ 的区别和投放方法-小七笔记
小店随心推 巨量千川 DOU+ 的区别和投放方法
3年前3218人已阅读
TOP2
抖音快速成功打造的账号风格及人设 5个小建议-小七笔记
抖音快速成功打造的账号风格及人设 5个小建议
3年前3044人已阅读
TOP3
抖音快速找到对标账号的3个方法-小七笔记
抖音快速找到对标账号的3个方法
3年前2900人已阅读
TOP4
MacOS Monterey 12.4 OC 0.8.0 / Cl 5146 / PE 三分区原版黑苹果镜像下载-小七笔记
MacOS Monterey 12.4 OC 0.8.0 / Cl 5146 / PE 三分区原版黑苹果镜像下载
3年前2345人已阅读
TOP5
抖音视频直播违禁词大全 抖音小店避坑指南-小七笔记
抖音视频直播违禁词大全 抖音小店避坑指南
3年前2327人已阅读
TOP6