- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
Web攻防训练营
xss-filter过滤器介绍
课程内容
1.htmlspecialchars()函数3.strip_tags()函数
2.htmlentities()函数4.自定义xssfilter
01
htmlspecialchars()函数
htmlspecialchars()函数
htmlspecialchars(string,flags,character-set,double_encode)
参考链接:/php/func_string_htmlspecialchars.asp
02
htmlentities()函数
htmlentities()函数
这个函数对于过滤用户输入的数据非常有用。它会将一些特殊字符转换为HTML实体。例如,用户输入
时,就会被该函数转化为HTML实体(lt),输入就被转为实体gt.
htmlentities(string,flags,character-set,double_encode)
参考链接:
/php/func_string_htmlentities.asp
/html/html_entities.asp
返回Whois信息
03
strip_tags()函数
strip_tags()函数
strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签。
注释:该函数始终会剥离HTML注释。这点无法通过allow参数改变。
注释:该函数是二进制安全的。
strip_tags(string,allow)
参考链接:/php/func_string_strip_tags.asp
04
自定义xssfilter
自定义xssfilter
functionxss_clean($data)
{
//Fixentity\n;拿来直接使用
$data=str_replace(array(amp;,lt;,gt;),array(amp;amp;,amp;lt;,amp;gt;),$data);
$data=preg_replace(/(#*\w+)[\x00-\x20]+;/u,$1;,$data);
$data=preg_replace(/(#x*[0-9A-F]+);*/iu,$1;,$data);
$data=html_entity_decode($data,ENT_COMPAT,UTF-8);
//Removeanyattributestartingwithonorxmlns
$data=preg_replace(#([^]+?[\x00-\x20\])(?:on|xmlns)[^]*+#iu,$1,$data);
//Removejavascript:andvbscript:protocols
$data=preg_replace(#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-
\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu,$1=$2nojavascript...,$data);
$data=preg_replace(#([a-z]*)[\x00-\x20]*=([\]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x
您可能关注的文档
- Web攻防视频教程第三节 SSRF利用 - 内网资源访问-01.pdf
- Web攻防视频教程第三节 XSS篡改网页链接-01.pdf
- Web攻防视频教程第三节 简单XXE漏洞代码编写-01.pdf
- Web攻防视频教程第三节 收集敏感信息-01.pdf
- Web攻防视频教程第三节 收集敏感信息-01.pptx
- Web攻防视频教程第三节 文件上传-绕过黑名单验证-01.pdf
- Web攻防视频教程第十八节 Sqlmap枚举信息2-01.pdf
- Web攻防视频教程第十八节 绕过去除注释符的SQL注入-01.pdf
- Web攻防视频教程第十八节 绕过剔除黑名单(union和select)的SQL注入-01.pdf
- Web攻防视频教程第十二节 POST update语句注入-01.pdf
文档评论(0)