PHP中的XSS过滤功能

Question

有谁知道从表单过滤通用输入的功能吗？ Zend_Filter_input似乎需要事先了解输入内容，我担心使用诸如HTML Purifier之类的东西会对性能产生巨大影响。

什么是这样的：http://snipplr.com/view/1848/php--sacar-xss/

非常感谢任何输入。

Answer 1

简单的方法？使用：

$str = strip_tags($input); 

您还可以使用filter_var()为：

$str = filter_var($input, FILTER_SANITIZE_STRING); 

的filter_var()的好处是，你可以控制的行为，例如，剥离或编码低和高的字符。

这里是一个sanitizing filters的列表。

Answer 2

黑客用于XSS攻击的方式有很多，PHP的内置函数不会响应各种XSS攻击。因此，诸如strip_tags，filter_var，mysql_real_escape_string，htmlentities，htmlspecialchars等函数并不能保护我们100％。您需要一个更好的机制，这里是什么解决方案：

function xss_clean($data) 
{ 
// Fix &entity\n; 
$data = str_replace(array('&','<','>'), array('&','<','>'), $data); 
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data); 
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data); 
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8'); 

// Remove any attribute starting with "on" or xmlns 
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data); 

// Remove javascript: and vbscript: protocols 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data); 

// Only works in IE: <span style="width: expression(alert('Ping!'));"></span> 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data); 

// Remove namespaced elements (we do not need them) 
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data); 

do 
{ 
    // Remove really unwanted tags 
    $old_data = $data; 
    $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data); 
} 
while ($old_data !== $data); 

// we are done... 
return $data; 
} 

Answer 3

最好的和安全的方式是使用HTML净化器。按照这个链接了解如何在Zend Framework中使用它。

HTML Purifier with Zend Framework

Answer 4

function clean($data){ 
    $data = rawurldecode($data); 
    return filter_var($data, FILTER_SANITIZE_SPEC_CHARS); 
} 

Answer 5

根据www.mcafeesecure.com一般解容易受到跨站点脚本（XSS）筛选器功能可以是：

function xss_cleaner($input_str) { 
    $return_str = str_replace(array('<','>',"'",'"',')','('), array('&lt;','&gt;','&apos;','&#x22;','&#x29;','&#x28;'), $input_str); 
    $return_str = str_ireplace('%3Cscript', '', $return_str); 
    return $return_str; 
} 

Answer 6

我有类似的问题。我需要用户的HTML内容提交到个人资料页与一个伟大的所见即所得的编辑器（！Redactorjs），我写了下面的函数来清洁提交的HTML：

<?php function filterxss($str) { 
//Initialize DOM: 
$dom = new DOMDocument(); 
//Load content and add UTF8 hint: 
$dom->loadHTML('<meta http-equiv="content-type" content="text/html; charset=utf-8">'.$str); 
//Array holds allowed attributes and validation rules: 
$check = array('src'=>'#(http://[^\s]+(?=\.(jpe?g|png|gif)))#i','href'=>'|^http(s)?://[a-z0-9-]+(.[a-z0-9-]+)*(:[0-9]+)?(/.*)?$|i'); 
//Loop all elements: 
foreach($dom->getElementsByTagName('*') as $node){ 
    for($i = $node->attributes->length -1; $i >= 0; $i--){ 
     //Get the attribute: 
     $attribute = $node->attributes->item($i); 
     //Check if attribute is allowed: 
     if(in_array($attribute->name,array_keys($check))) { 
      //Validate by regex:  
      if(!preg_match($check[$attribute->name],$attribute->value)) { 
       //No match? Remove the attribute 
       $node->removeAttributeNode($attribute); 
      } 
     }else{ 
      //Not allowed? Remove the attribute: 
      $node->removeAttributeNode($attribute); 
     } 
    } 
} 
var_dump($dom->saveHTML()); } ?> 

的$检查数组保存所有允许的属性和验证规则。也许这对你们中的一些人有用。我没有测试尚未，所以提示欢迎

Answer 7

尝试使用清洁XSS

xss_clean($data): "><script>alert(String.fromCharCode(74,111,104,116,111,32,82,111,98,98,105,101))</script> 

Answer 8

htmlspecialchars()是完全足够显示在HTML表单过滤用户输入。

Answer 9

上述所有方法不允许保留像<a>一些标签，<table>等有一个最终的解决方案http://sourceforge.net/projects/kses/ Drupal使用它

Answer 10

我发现我的问题的解决方案与德国元音的职位。要完全清洗（杀死）的职位提供，我编码输入数据：

*$data = utf8_encode($data); 
    ... function ...* 

，最后我解码输出，以获得正确的符号：

*$data = utf8_decode($data);* 

现在后经过过滤器功能和我得到一个正确的结果...