php 正则式过滤表单提交危险代码的用法 本帖最后由 GrandMaAuto 于 2009-09-30 13:40:10 编辑 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 什么叫具体的用法?原来是:$content = $_POST['content'];现在是:$content = uh($_POST['content']);这就是具体? //这个xss过滤函数写得不够全.function uh($str){ $farr = array( "/\s /", //過濾多余的空白 "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/is", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入 <object的过滤 "/(<[^>]*)on[a-zA-Z] \s*=([^>]*>)/is", //过滤javascript的on事件 ); $tarr = array( " ", "", //如果要直接清除不安全的标签,这里可以留空 "", ); $str = preg_replace( $farr,$tarr,$str); return $str;} echo uh("abc<script>defg</script><a href='javascript:alert(\"hello world\")'>click me</a>eeee"); 谢谢你的帮忙 IFRAME , SCRIPT 是执行不了 可是连结裡面的 JAVASCRIPT 还是可以用 请问这会造成安全性问题吗 关于php连接mysql Apache2.2 与php5.2.9的问题??? PHP这段代码如何写 写入fwirte函数的用法,有点郁闷了。 首页图片轮播,点击图片进入相应文章的问题 ->>> back后,在不刷新页面的情况下,如果让表单中部分数据置空? 解决后即刻结帖!! [求助] Array & eval问题 mac怎么用git更新代码 thinkphp rediract 怎么加target ='_top'参数。。 输出多个Json对象 求一个递归程序~~~~~~~~~~~~~~~~~ PHP和MySQL Web开发电子书及源码 为学习PHP的朋友准备
原来是:$content = $_POST['content'];
现在是:$content = uh($_POST['content']);
这就是具体?
function uh($str)
{
$farr = array(
"/\s /", //過濾多余的空白
"/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/is", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入 <object的过滤
"/(<[^>]*)on[a-zA-Z] \s*=([^>]*>)/is", //过滤javascript的on事件 );
$tarr = array(
" ",
"", //如果要直接清除不安全的标签,这里可以留空
"",
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
} echo uh("abc<script>defg</script><a href='javascript:alert(\"hello world\")'>click me</a>eeee");
谢谢你的帮忙 IFRAME , SCRIPT 是执行不了 可是连结裡面的 JAVASCRIPT 还是可以用 请问这会造成安全性问题吗