¿Alguien sabe de una buena función para filtrar entradas genéricas de formularios? Zend_Filter_input parece requerir un conocimiento previo del contenido de la entrada y me preocupa que usar algo como HTML Purifier tenga un gran impacto en el rendimiento.Función de filtrado XSS en PHP
¿Qué pasa algo como: http://snipplr.com/view/1848/php--sacar-xss/
Muchas gracias por cualquier entrada.
¿Manera simple? Utilice :
$str = strip_tags($input);
También se puede utilizar para que filter_var():
$str = filter_var($input, FILTER_SANITIZE_STRING);
La ventaja de filter_var() es que se puede controlar el comportamiento, por ejemplo, agotamiento o de codificación de caracteres de baja y alta.
Aquí hay una lista de sanitizing filters.
gracias - no sabía acerca de filter_var() – codecowboy
Así que esta es la mejor manera o es HTML Purifier la mejor manera de conseguir la máxima seguridad – andho
Mientras que el cletus generalmente tiende a ser perfecto, el simple uso de 'strip_tags()' es un gran descuido y un problema de seguridad. Por favor, lea lo siguiente para obtener más información http://htmlpurifier.org/comparison#striptags –
Hay una serie de formas en que los hackers utilizan los ataques XSS, las funciones integradas de PHP no responden a todo tipo de ataques XSS. Por lo tanto, funciones como strip_tags, filter_var, mysql_real_escape_string, htmlentities, htmlspecialchars, etc. no nos protegen al 100%. Necesita un mejor mecanismo, aquí está cuál es la solución:
function xss_clean($data)
{
// Fix &entity\n;
$data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data);
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');
// Remove any attribute starting with "on" or xmlns
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);
// Remove javascript: and vbscript: protocols
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);
// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);
// Remove namespaced elements (we do not need them)
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);
do
{
// Remove really unwanted tags
$old_data = $data;
$data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
}
while ($old_data !== $data);
// we are done...
return $data;
}
¿Hey @Sarfraz es su función realmente segura? – Yakup
también debe agregar * urldecode * al frente del código este script no funciona, por ejemplo, en% 22% 3E% 3Cscript% 3Ealert ('try_xss');% 3C/script% 3E –
Hay una actualización de este código proporcionado por Christian Stocker: http://blog.liip.ch/archive/2008/09/10/missed-case-in-externalinput-php-resulting-in-viable-xss-attacks.html –
la mejor y más segura es utilizar el purificador de HTML. Siga este enlace para obtener algunos consejos sobre cómo usarlo con Zend Framework.
Pero dammmmn es esa biblioteca hinchada . –
Puede estar hinchado, pero cuando realmente necesita la opción nuclear para filtrarlo, es lo mejor. – LaXDragon
function clean($data){
$data = rawurldecode($data);
return filter_var($data, FILTER_SANITIZE_SPEC_CHARS);
}
no funciona. pero '$ data = filter_var ($ _ GET ['data'], FILTER_SANITIZE_STRING);' funciona. –
Según www.mcafeesecure.com solución general para vulnerable a cross-site scripting función de filtro (XSS) puede ser:
function xss_cleaner($input_str) {
$return_str = str_replace(array('<','>',"'",'"',')','('), array('<','>',''','"',')','('), $input_str);
$return_str = str_ireplace('%3Cscript', '', $return_str);
return $return_str;
}
La respuesta previamente aceptada y altamente votada proporciona una solución limpia y breve. ¿Qué agrega tu aliento a esa respuesta? Verifique esta [pregunta de metaSO] (http://meta.stackexchange.com/questions/7656/how-do-i-write-a-good-answer-to-a-question) y [Jon Skeet: Coding Blog] (http://msmvps.com/blogs/jon_skeet/archive/2009/02/17/answering-technical-questions-helpfully.aspx) sobre cómo dar una respuesta correcta. – Yaroslav
Tengo un problema similar. Necesito a los usuarios enviar contenido HTML a una página de perfil con un gran editor WYSIWYG (! Redactorjs), i escribió la siguiente función para limpiar el html presentado:
<?php function filterxss($str) {
//Initialize DOM:
$dom = new DOMDocument();
//Load content and add UTF8 hint:
$dom->loadHTML('<meta http-equiv="content-type" content="text/html; charset=utf-8">'.$str);
//Array holds allowed attributes and validation rules:
$check = array('src'=>'#(http://[^\s]+(?=\.(jpe?g|png|gif)))#i','href'=>'|^http(s)?://[a-z0-9-]+(.[a-z0-9-]+)*(:[0-9]+)?(/.*)?$|i');
//Loop all elements:
foreach($dom->getElementsByTagName('*') as $node){
for($i = $node->attributes->length -1; $i >= 0; $i--){
//Get the attribute:
$attribute = $node->attributes->item($i);
//Check if attribute is allowed:
if(in_array($attribute->name,array_keys($check))) {
//Validate by regex:
if(!preg_match($check[$attribute->name],$attribute->value)) {
//No match? Remove the attribute
$node->removeAttributeNode($attribute);
}
}else{
//Not allowed? Remove the attribute:
$node->removeAttributeNode($attribute);
}
}
}
var_dump($dom->saveHTML()); } ?>
El $ cheque matriz contiene todos los atributos permitidos y validación reglas. Tal vez esto sea útil para algunos de ustedes. No he probado todavía es, por lo consejos son bienvenidos
trate de usar para Limpiar XSS
xss_clean($data): "><script>alert(String.fromCharCode(74,111,104,116,111,32,82,111,98,98,105,101))</script>
htmlspecialchars() es perfectamente adecuado para el filtrado de entrada del usuario que se muestra en los formularios HTML.
Todos los métodos anteriores no permiten conservar algunas etiquetas como <a>, etc. <table> No es una solución definitiva http://sourceforge.net/projects/kses/ Drupal usa
he encontrado una solución para mi problema con los postes con diéresis alemán.Para proporcionar desde totalmente limpiar (matar) los mensajes, i codificar los datos de entrada:
*$data = utf8_encode($data);
... function ...*
Y al fin lo decodificar la salida para obtener señales correctas:
*$data = utf8_decode($data);*
Ahora el mensaje pasa por el filtro función y obtengo un resultado correcto ...
HTMLPUrifier puede tomar algunos recursos, pero es probable que no tenga tanto contenido publicado? (comparado con lo que se consulta, por ejemplo) ;; si ejecuta HTMLPurifier al guardar los datos en la base de datos, y no al leerlos desde la base de datos, podría estar bien ... –