2009-08-26 2 views
36

¿Alguien sabe de una buena función para filtrar entradas genéricas de formularios? Zend_Filter_input parece requerir un conocimiento previo del contenido de la entrada y me preocupa que usar algo como HTML Purifier tenga un gran impacto en el rendimiento.Función de filtrado XSS en PHP

¿Qué pasa algo como: http://snipplr.com/view/1848/php--sacar-xss/

Muchas gracias por cualquier entrada.

+2

HTMLPUrifier puede tomar algunos recursos, pero es probable que no tenga tanto contenido publicado? (comparado con lo que se consulta, por ejemplo) ;; si ejecuta HTMLPurifier al guardar los datos en la base de datos, y no al leerlos desde la base de datos, podría estar bien ... –

Respuesta

69

¿Manera simple? Utilice :

$str = strip_tags($input); 

También se puede utilizar para que filter_var():

$str = filter_var($input, FILTER_SANITIZE_STRING); 

La ventaja de filter_var() es que se puede controlar el comportamiento, por ejemplo, agotamiento o de codificación de caracteres de baja y alta.

Aquí hay una lista de sanitizing filters.

+3

gracias - no sabía acerca de filter_var() – codecowboy

+0

Así que esta es la mejor manera o es HTML Purifier la mejor manera de conseguir la máxima seguridad – andho

+13

Mientras que el cletus generalmente tiende a ser perfecto, el simple uso de 'strip_tags()' es un gran descuido y un problema de seguridad. Por favor, lea lo siguiente para obtener más información http://htmlpurifier.org/comparison#striptags –

23

Hay una serie de formas en que los hackers utilizan los ataques XSS, las funciones integradas de PHP no responden a todo tipo de ataques XSS. Por lo tanto, funciones como strip_tags, filter_var, mysql_real_escape_string, htmlentities, htmlspecialchars, etc. no nos protegen al 100%. Necesita un mejor mecanismo, aquí está cuál es la solución:

function xss_clean($data) 
{ 
// Fix &entity\n; 
$data = str_replace(array('&','<','>'), array('&','<','>'), $data); 
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data); 
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data); 
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8'); 

// Remove any attribute starting with "on" or xmlns 
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data); 

// Remove javascript: and vbscript: protocols 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data); 
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data); 

// Only works in IE: <span style="width: expression(alert('Ping!'));"></span> 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data); 
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data); 

// Remove namespaced elements (we do not need them) 
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data); 

do 
{ 
    // Remove really unwanted tags 
    $old_data = $data; 
    $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data); 
} 
while ($old_data !== $data); 

// we are done... 
return $data; 
} 
+3

¿Hey @Sarfraz es su función realmente segura? – Yakup

+0

también debe agregar * urldecode * al frente del código este script no funciona, por ejemplo, en% 22% 3E% 3Cscript% 3Ealert ('try_xss');% 3C/script% 3E –

+1

Hay una actualización de este código proporcionado por Christian Stocker: http://blog.liip.ch/archive/2008/09/10/missed-case-in-externalinput-php-resulting-in-viable-xss-attacks.html –

7

la mejor y más segura es utilizar el purificador de HTML. Siga este enlace para obtener algunos consejos sobre cómo usarlo con Zend Framework.

HTML Purifier with Zend Framework

+7

Pero dammmmn es esa biblioteca hinchada . –

+0

Puede estar hinchado, pero cuando realmente necesita la opción nuclear para filtrarlo, es lo mejor. – LaXDragon

2
function clean($data){ 
    $data = rawurldecode($data); 
    return filter_var($data, FILTER_SANITIZE_SPEC_CHARS); 
} 
+1

no funciona. pero '$ data = filter_var ($ _ GET ['data'], FILTER_SANITIZE_STRING);' funciona. –

0

Según www.mcafeesecure.com solución general para vulnerable a cross-site scripting función de filtro (XSS) puede ser:

function xss_cleaner($input_str) { 
    $return_str = str_replace(array('<','>',"'",'"',')','('), array('&lt;','&gt;','&apos;','&#x22;','&#x29;','&#x28;'), $input_str); 
    $return_str = str_ireplace('%3Cscript', '', $return_str); 
    return $return_str; 
} 
+0

La respuesta previamente aceptada y altamente votada proporciona una solución limpia y breve. ¿Qué agrega tu aliento a esa respuesta? Verifique esta [pregunta de metaSO] (http://meta.stackexchange.com/questions/7656/how-do-i-write-a-good-answer-to-a-question) y [Jon Skeet: Coding Blog] (http://msmvps.com/blogs/jon_skeet/archive/2009/02/17/answering-technical-questions-helpfully.aspx) sobre cómo dar una respuesta correcta. – Yaroslav

3

Tengo un problema similar. Necesito a los usuarios enviar contenido HTML a una página de perfil con un gran editor WYSIWYG (! Redactorjs), i escribió la siguiente función para limpiar el html presentado:

<?php function filterxss($str) { 
//Initialize DOM: 
$dom = new DOMDocument(); 
//Load content and add UTF8 hint: 
$dom->loadHTML('<meta http-equiv="content-type" content="text/html; charset=utf-8">'.$str); 
//Array holds allowed attributes and validation rules: 
$check = array('src'=>'#(http://[^\s]+(?=\.(jpe?g|png|gif)))#i','href'=>'|^http(s)?://[a-z0-9-]+(.[a-z0-9-]+)*(:[0-9]+)?(/.*)?$|i'); 
//Loop all elements: 
foreach($dom->getElementsByTagName('*') as $node){ 
    for($i = $node->attributes->length -1; $i >= 0; $i--){ 
     //Get the attribute: 
     $attribute = $node->attributes->item($i); 
     //Check if attribute is allowed: 
     if(in_array($attribute->name,array_keys($check))) { 
      //Validate by regex:  
      if(!preg_match($check[$attribute->name],$attribute->value)) { 
       //No match? Remove the attribute 
       $node->removeAttributeNode($attribute); 
      } 
     }else{ 
      //Not allowed? Remove the attribute: 
      $node->removeAttributeNode($attribute); 
     } 
    } 
} 
var_dump($dom->saveHTML()); } ?> 

El $ cheque matriz contiene todos los atributos permitidos y validación reglas. Tal vez esto sea útil para algunos de ustedes. No he probado todavía es, por lo consejos son bienvenidos

0

trate de usar para Limpiar XSS

xss_clean($data): "><script>alert(String.fromCharCode(74,111,104,116,111,32,82,111,98,98,105,101))</script> 
1

htmlspecialchars() es perfectamente adecuado para el filtrado de entrada del usuario que se muestra en los formularios HTML.

-1

he encontrado una solución para mi problema con los postes con diéresis alemán.Para proporcionar desde totalmente limpiar (matar) los mensajes, i codificar los datos de entrada:

*$data = utf8_encode($data); 
    ... function ...* 

Y al fin lo decodificar la salida para obtener señales correctas:

*$data = utf8_decode($data);* 

Ahora el mensaje pasa por el filtro función y obtengo un resultado correcto ...