代码之家  ›  专栏  ›  技术社区  ›  fire

针对XSS攻击的URL的PHP filter\u var

xss php
  •  2
  • fire  · 技术社区  · 14 年前

    我的职责是: 

    function is_url($url) {
    return (preg_match('#^(https?):\/\/#i', $url) && (filter_var($url, FILTER_VALIDATE_URL) !== FALSE));
}

    下面是一个很好的url,它验证为true: 

    http://blah.com"onclick="alert(document.cookie)

    想象一下如果这进入 <a href="<?php echo $url; ?>">

    有没有更好的带有regex的URL验证器?或者我正在测试的URL实际上是一个有效的URL(在这种情况下,我需要一个XSS清理函数)?

    1 回复  |  直到 14 年前
        1
  •  3
  •   Artefacto    14 年前

    filter : 

    filter_var($url, FILTER_VALIDATE_URL);

    这会回来的 false 使用您的示例URL。如果它是有效的,它将返回 $url . 例子: 

    glopes@nebm:~$ php -r "var_dump(filter_var('http://blah.com\"onclick=\"alert(document.cookie)', FILTER_VALIDATE_URL));"
bool(false)

    htmlspecialchars . 因为它是一个属性,所以应该使用 ENT_QUOTES : 

    htmlspecialchars($data, ENT_QUOTES);

    javascript: -比如“url”。

    推荐文章
    Robo Robok  ·  为什么我无法使用Dom\HTMLDocument搜索标签?
    4 月前
    KevInSol  ·  在FreeBSD的配置阶段,从源代码构建PHP时找不到libjpeg
    4 月前
    Karlo  ·  PHP Sqlite PDO最新版本
    4 月前
    biera  ·  PHP:pntl_exec即使提供了有效的可执行路径也无法工作
    4 月前
    Malte  ·  检查远程服务器上是否存在文件(使用PHP)[关闭]
    4 月前
    Linesofcode  ·  PhpStorm智能感知在方法链+多个类的情况下无法正常工作
    4 月前
    Artem  ·  如何使用php将zip存档中的每个文件压缩到未压缩的大小?[副本]
    4 月前
    Razvan Zamfir  ·  如何在Laravel 8应用程序中显示多选的选定选项?
    4 月前
    wqyutv  ·  当找不到文件时,任何破坏错误的东西都不会出现,我该怎么解决这个问题?
    4 月前
    Bard.Mus  ·  迁移后的数据库字符集环境
    4 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号