phpxss攻击

⑴ php网站怎样解决跨站脚本攻击漏洞

这应该是一套开源的CMS系统，每套CMS系统源码不一样，但是只要发现$_GET,$_REQUEST这样的代码，都可以改成$out = htmlspecialchars($_GET[XXX],ENT_QUOTES)

⑵ PHP工程师面试常见问题有哪些

基础知识，数据库，框架，也很可能问你他们工作遇到的问题

⑶ 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

⑷ 最近网上流行的XSS是什么意思

最近网上流行的XSS是小学生的恶称，骂小学生的。

一是指某些人的想法、思维方式、对事物的认知和思考能力如孩子般幼稚、单纯、天真。

二是特指某类相对于同龄的人，在游戏竞技或者社交网络中， 态度傲慢、技术水准较差、拒绝与队友沟通、独断专行、忽视团队合作、甚至喜欢恶语相向的网游玩家。

三是指对没有接触过社会或社会经验不足。

(4)phpxss攻击扩展阅读：

1、小学生技术菜，爱骂人，玻璃心（说他一句就挂机送人头，不管说什么，比如：中路的你不要再送了，然后他就说“我就送”，接着就开始了。）小学生的心思就像星空，摸不着猜不透。

2、大喷子（网络中对喜欢肆意谩骂、地域黑、招黑、互黑等网友的一种广泛性定义。），不分青红皂白就开喷。

3、说话不经过大脑考虑，以自我为中心，可能是在家被宠惯了。

4、没有接触过社会大家庭或接触社会经验不足。比如：参加工作，你要是不让新人上，永远都是新人。这也是小学生。

⑸ 网站被攻击了有什么解决方法吗

1/3分步阅读

首先遇到这样服务器被黑的情况不要着急，按下面步骤淡定处理： 1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。 这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网 站呢?你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。 2、下载服务器日志，并且对服务器进行全盘杀毒扫描。 这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个 漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。 3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件，如N点虚拟主机管理软件、易方管理软件、华众管理软件等等。 4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对图片和非脚本目录做无权限处理。 5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限! 6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。

⑹ PHP如何做好最基础的安全防范

PHP如何做好最基础的安全防范

php给了开发者极大的灵活性，但是这也为安全问题带来了潜在的隐患，PHP如何做好最基础的安全防范呢？下面我为大家解答一下，希望能帮到您！

当开发一个互联网服务的时候，必须时刻牢记安全观念，并在开发的代码中体现。PHP脚本语言对安全问题并不关心，特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时，需要特别注意安全问题的考虑，例如开发一个论坛或者是一个购物车等。

安全保护一般性要点

不相信表单

对于一般的javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入。

不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的，存在隐藏的威胁，要对每一条数据都进行清理

关闭全局变量

在php.ini文件中进行以下配置：

register_globals = Off

如果这个配置选项打开之后，会出现很大的安全隐患。例如有一个process.php的脚本文件，会将接收到的数据插入到数据库，接收用户输入数据的表单可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

这样，当提交数据到process.php之后，php会注册一个$username变量，将这个变量数据提交到process.php，同时对于任何POST或GET请求参数，都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此处，假设authenticated_user函数就是判断$authorized变量的值，如果开启了register_globals配置，那么任何用户都可以发送一个请求，来设置$authorized变量的值为任意值从而就能绕过这个验证。所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量，默认的顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户，开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ，这样可以让session信息有存储权限，同时设置单独的网站根目录expose_php设置为Offallow_url_fopen设置为Offallow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子：

$sql ="select * from pinfo where proct = '$proct'";

此时如果用户输入的$proct参数为：'39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的`样子：

select proct from pinfo where proct = '39';

DROP pinfo;

SELECT 'FOO'

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where proct = '"' mysql_real_escape_string($proct) . '"';

防止SQL注入攻击需要做好两件事：对输入的参数总是进行类型验证对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义但是，这里根据开发经验，不要开启php的Magic Quotes，这个特性在php6中已经废除，总是自己在需要的时候进行转义。

防止基本的XSS攻击

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签。下面是一个普通的过滤方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

这个函数将HTML的特殊字符转换为了HTML实体，浏览器在渲染这段文本的时候以纯文本形式显示。如bold会被显示为： BoldText 上述函数的核心就是htmlentities函数，这个函数将html特殊标签转换为html实体字符，这样可以过滤大部分的XSS攻击。但是对于有经验的XSS攻击者，有更加巧妙的办法进行攻击：将他们的恶意代码使用十六进制或者utf-8编码，而不是普通的ASCII文本，例如可以使用下面的方式进行：

这样浏览器渲染的结果其实是：

< a href = "http://host/a.php?variable=" >

< SCRIPT >Dosomethingmalicious

这样就达到了攻击的目的。为了防止这种情况，需要在transform_HTML函数的基础上再将#和%转换为他们对应的实体符号，同时加上了$length参数来限制提交的数据的最大长度。

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单更加简单和有效。一种白名单解决方案就是SafeHTML，它足够智能能够识别有效的HTML，然后就可以去除任何危险的标签。这个需要基于HTMLSax包来进行解析。安装使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下载最新的SafeHTML

2、将文件放入服务器的classes 目录，这个目录包含所有的SafeHTML和HTMLSax库

3、在自己的脚本中包含SafeHTML类文件

4、建立一个SafeHTML对象

5、使用parse方法进行过滤

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML并不能完全防止XSS攻击，只是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。MD5函数处理过的hash值基本不能被破解，但是总是有可能性的，而且网上也有MD5的hash字典。

使用mcrypt加密数据MD5 hash函数可以在可读的表单中显示数据，但是对于存储用户的信用卡信息的时候，需要进行加密处理后存储，并且需要之后进行解密。最好的方法是使用mcrypt模块，这个模块包含了超过30中加密方式来保证只有加密者才能解密数据。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函数需要以下信息：

1、待加密数据

2、用来加密和解密数据的key

3、用户选择的加密数据的特定算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用来加密的模式

5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法

6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取如果数据和key都被盗取，那么攻击者可以遍历ciphers寻找开行的方式即可，因此我们需要将加密的key进行MD5一次后保证安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据，这样保存到数据库字段中会引起其他错误，使用了base64encode将这些数据转换为了十六进制数方便保存。

;

⑺ 如何防止跨站点脚本攻击

你好~
XSS漏洞产生的原因：

跨站点脚本的主要原因是程序猿对用户的信任。开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。另一个原因是,这种攻击有许多变体，用制造出一种行之有效的XSS过滤器是一件比较困难的事情。
但是这只是相对的，对用户输入数据的”编码”和”过滤”在任何时候都是很重要的，我们必须采取一些针对性的手段对其进行防御。

如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码

1 .需要重点”编码”和”过滤”的对象
The URL
HTTP referrer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referrer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data

防御XSS有一个原则:
以当前的应用系统为中心，所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据)，所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)
对输入的数据进行”过滤”，对输出数据进行”编码”。这里的”编码”也要注意，必须针对数据具体的上下文语境进行针对性的编码。例如数据是输出到HTML中的那就要进行HtmlEncode，如果数据是输出到javascript代码中进行拼接的，那就要进行javascriptEncode。
如果不搞清楚数据具体输出的语境，就有可能因为HtmlParser()和javascriptParser()两种解析引擎的执行先后问题导致看似严密的”编码”形同虚设。

2. HtmlEncode HTML编码
它的作用是将字符转换成HTMLEntities，对应的标准是ISO-8859-1
为了对抗XSS，在HtmlEncode中要求至少转换以下字符:
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
在PHP中:

htmlentities
http://www.w3school.com.cn/php/func_string_htmlentities.asp
htmlspecialchars
http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
3. javascriptEncode javascript”编码”
javascriptEncode与HtmlEncode的编码方法不同，HtmlEncode是去编码，而javascriptEncode更多的像转义，它需要使用”\”对特殊字符进行转义。从原理上来讲，这都符合编码函数的一个大原则: 将数据和代码区分开，因为对于HTML Tag来说，我们对其进行”可视化(转换成可以见字符)”的编码可以将数据和HTML的界限分开。而对于javascript来说，我们除了要进行编码之外，还需要对特殊字符进行转义，这样攻击输入的用于”闭合”的特殊字符就无法发挥作用，从而避免XSS攻击，除此之外，在对抗XSS时，还要求输出的变量必须在引号内部，以避免造成安全问题。
escape()
http://www.w3school.com.cn/js/jsref_escape.asp
该方法不会对 ASCII 字母和数字进行编码，也不会对下面这些 ASCII 标点符号进行编码： * @ – _ + . / 。其他所有的字符都会被转义序列(十六进制\xHH)替换。
利用这个编码函数，不仅能防御XSS攻击，还可以防御一些command注入。

一些开源的防御XSS攻击的代码库：

PHP AntiXSS
这是一个不错的PHP库,可以帮助开发人员增加一层保护，防止跨站脚本漏洞。
https://code.google.com/p/php-antixss/
xss_clean.php filter
https://gist.github.com/mbijon/1098477
HTML Purifier
http://htmlpurifier.org/
xssprotect
https://code.google.com/p/xssprotect/
XSS HTML Filter
http://finn-no.github.io/xss-html-filter/

原文地址：http://resources.infosecinstitute.com/how-to-prevent-cross-site-scripting-attacks/

希望可以帮助到你~望采纳哦~谢谢~