Chức năng lọc XSS trong PHP

Question

Có ai biết chức năng tốt ở đó để lọc đầu vào chung từ biểu mẫu không? Zend_Filter_input dường như yêu cầu kiến ​​thức trước về nội dung của đầu vào và tôi lo ngại rằng việc sử dụng một cái gì đó như Trình lọc HTML sẽ có tác động hiệu suất lớn.

gì về cái gì đó như: http://snipplr.com/view/1848/php--sacar-xss/

Rất cám ơn cho bất kỳ đầu vào.

Answer 1

Cách đơn giản? Sử dụng :

$str = strip_tags($input); 

Bạn cũng có thể sử dụng filter_var() cho rằng:

$str = filter_var($input, FILTER_SANITIZE_STRING); 

Ưu điểm của filter_var() là bạn có thể kiểm soát hành vi bằng cách, ví dụ, tước hoặc mã hóa ký tự thấp và cao.

Dưới đây là danh sách sanitizing filters.

Answer 2

Có một số cách thức mà tin tặc được đưa vào sử dụng cho các cuộc tấn công XSS, các hàm dựng sẵn của PHP không phản hồi tất cả các loại tấn công XSS. Do đó, các chức năng như strip_tags, filter_var, mysql_real_escape_string, htmlentities, htmlspecialchars, vv không bảo vệ chúng ta 100%. Bạn cần một cơ chế tốt hơn, đây là giải pháp là gì:

function xss_clean($data) 
{ 
// Fix &entity\n; 
$data = str_replace(array('&','<','>'), array('&','<','>'), $data); 
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data); 
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data); 
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8'); 

// Remove any attribute starting with "on" or xmlns 
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data); 

// Remove javascript: and vbscript: protocols 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data); 

// Only works in IE: <span style="width: expression(alert('Ping!'));"></span> 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data); 

// Remove namespaced elements (we do not need them) 
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data); 

do 
{ 
    // Remove really unwanted tags 
    $old_data = $data; 
    $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data); 
} 
while ($old_data !== $data); 

// we are done... 
return $data; 
} 

Answer 3

cách tốt nhất và an toàn là sử dụng Trình lọc HTML. Theo liên kết này để biết một số gợi ý về cách sử dụng nó với Zend Framework.

HTML Purifier with Zend Framework

Answer 4

function clean($data){ 
    $data = rawurldecode($data); 
    return filter_var($data, FILTER_SANITIZE_SPEC_CHARS); 
} 

Answer 5

Theo www.mcafeesecure.com Giải pháp chung cho dễ bị cross-site scripting (XSS) chức năng lọc có thể là:

function xss_cleaner($input_str) { 
    $return_str = str_replace(array('<','>',"'",'"',')','('), array('&lt;','&gt;','&apos;','&#x22;','&#x29;','&#x28;'), $input_str); 
    $return_str = str_ireplace('%3Cscript', '', $return_str); 
    return $return_str; 
} 

Answer 6

Tôi có một vấn đề tương tự. Tôi cần người sử dụng gửi nội dung html đến một trang hồ sơ cá nhân với một trình soạn thảo WYSIWYG lớn (! Redactorjs), tôi đã viết các chức năng sau đây để làm sạch html nộp:

<?php function filterxss($str) { 
//Initialize DOM: 
$dom = new DOMDocument(); 
//Load content and add UTF8 hint: 
$dom->loadHTML('<meta http-equiv="content-type" content="text/html; charset=utf-8">'.$str); 
//Array holds allowed attributes and validation rules: 
$check = array('src'=>'#(http://[^\s]+(?=\.(jpe?g|png|gif)))#i','href'=>'|^http(s)?://[a-z0-9-]+(.[a-z0-9-]+)*(:[0-9]+)?(/.*)?$|i'); 
//Loop all elements: 
foreach($dom->getElementsByTagName('*') as $node){ 
    for($i = $node->attributes->length -1; $i >= 0; $i--){ 
     //Get the attribute: 
     $attribute = $node->attributes->item($i); 
     //Check if attribute is allowed: 
     if(in_array($attribute->name,array_keys($check))) { 
      //Validate by regex:  
      if(!preg_match($check[$attribute->name],$attribute->value)) { 
       //No match? Remove the attribute 
       $node->removeAttributeNode($attribute); 
      } 
     }else{ 
      //Not allowed? Remove the attribute: 
      $node->removeAttributeNode($attribute); 
     } 
    } 
} 
var_dump($dom->saveHTML()); } ?> 

Các $ séc mảng chứa tất cả các thuộc tính cho phép và xác nhận quy tắc. Có lẽ điều này rất hữu ích cho một số bạn. Tôi đã không kiểm tra là chưa, vì vậy lời khuyên được hoan nghênh

Answer 7

Cố gắng sử dụng cho sạch XSS

xss_clean($data): "><script>alert(String.fromCharCode(74,111,104,116,111,32,82,111,98,98,105,101))</script> 

Answer 8

htmlspecialchars() là hoàn toàn phù hợp cho người dùng lọc đầu vào sẽ được hiển thị ở dạng html.

Answer 9

Tất cả các phương pháp trên không cho phép để bảo tồn một số thẻ như <a>, <table> vv Có một giải pháp cuối cùng http://sourceforge.net/projects/kses/ Drupal sử dụng nó

Answer 10

Tôi tìm thấy một giải pháp cho vấn đề của tôi với bài viết với âm sắc Đức.Để cung cấp từ hoàn toàn sạch (giết chết) các bài viết, tôi mã hóa dữ liệu đến:

*$data = utf8_encode($data); 
    ... function ...* 

Và cuối cùng tôi giải mã đầu ra để có được dấu hiệu chính xác:

*$data = utf8_decode($data);* 

Bây giờ bài đi qua bộ lọc chức năng và tôi nhận được kết quả chính xác ...