owasp php filters介绍以及使用–过滤非法输入PHP函数库

最近在研究关于php安全的问题,无意中看到使用 PHP 构建的 Web 应用如何避免 XSS 攻击,很受启发,尤其是字符集编码、动态内容为JavaScript事件处理函数的参数、动态内容位于 JavaScript 代码段中时的xss攻击,建议大家都看看,今天要介绍的owasp php filters也是从这篇文章中看到的。

首先先介绍下owasp,开放Web应用程序安全性项目(OWASP)501(c)(3)全球非营利慈善组织专注于改进的安全软件。进他们的项目主页,项目好多,关于php也有不少,不过有几个很好的安全项目还没有提供相关类库的下载,想杀人的冲动。。。。

owasp php filters的主页是https://www.owasp.org/index.php/OWASP_PHP_Filters,里面有关于一些安全过滤函数的介绍,

项目下载地址http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=106757

 

核心文件是sanitize.php,index.php是提供给大家测试安全过滤函数用的,test.php过滤输出结果页。

介绍几个常用的函数:

sanitize_sql_string函数用来过滤sql输入参数,该函数addslashes了下,又去除了;,去除;主要是防止 x'; DROP TABLE members; -- 这种攻击。

sanitize_html_string函数用来过滤html的输出,相比htmlspecialchars函数,sanitize_html_string函数过滤了更多的特殊字符,但是感觉还是不是很给力,HTML Purifier才是首选,地址是http://htmlpurifier.org/

在学习的过程中,我也发现了一些很给力的php自带函数比如filter_var,该函数不仅提供邮箱、ip的验证,还提供了一些安全过滤功能。

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注