找到
3
篇与
网站后端
相关的结果
-
-
留言墙功能模块-文本过滤函数 代码功能解析:脏话处理函数 在开发网络应用程序或社交平台时,处理用户输入是一项重要的任务。而在处理用户输入时,经常会遇到包含一些不当言辞或敏感词汇的情况。为了维护良好的用户体验和网络环境,我们需要对这些不当言辞进行过滤和替换。 下面的代码段是一个简单的文本处理函数,它通过读取当前目录的bad_words.txt文件。 function filter_bad_words($input) { //1. $filename = 'bad_words.txt'; //2. $bad_words = file($filename, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES); //3. $filtered_input = $input; //4. foreach ($bad_words as $bad_word) { $replacement = str_repeat('*', mb_strlen($bad_word, 'UTF-8')); //5. $filtered_input = str_ireplace($bad_word, $replacement, $filtered_input); //6. } return $filtered_input; //7. }1.首先,函数定义了一个名为 filter_bad_words 的方法,该方法接受一个字符串类型的参数 $input,即用户输入的内容。 2.接下来,函数内部声明了一个变量 $filename,用于存储存储不当言辞列表的文件的路径。文件名为 bad_words.txt,你可以根据实际情况修改此变量以指向正确的文件路径。 3.使用 file 函数,代码将读取存储在 bad_words.txt 文件中的不当言辞,并将其存储在变量 $bad_words 中。FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES 标记告诉 file 函数忽略文件中的换行符和空行。 4.接下来,代码初始化了一个变量 $filtered_input,并将其赋值为用户输入 $input。该变量将用于存储经过过滤后的用户输入内容。 5.函数使用循环遍历 $bad_words 数组,并对每个不当言辞进行处理。在循环体内,代码使用 str_repeat 函数生成一个与不当言辞长度相同的由星号组成的字符串 $replacement,用于替换不当言辞,这里的 * 可以替换为其他字符但是我建议是*。 6.最后,代码使用 str_ireplace 函数将 $bad_word 替换为 $replacement,并更新 $filtered_input 的值。这里使用了 str_ireplace 函数来实现不区分大小写的替换。 7.循环结束后,函数将返回经过脏话过滤后的 $filtered_input 变量作为结果。 该函数实现了简单而有效的文本过滤功能,可以帮助网站或应用程序自动识别和屏蔽用户输入中的不当言辞,提升用户体验和网络环境的健康度。当然,为了保持过滤列表的有效性,我们需要定期更新存储不当言辞的文件。同时,该函数也可以根据实际需求进行扩展和优化,以满足更复杂的过滤需求。
-
XSS漏洞原理、分类、危害及防御 一、XSS简介 XSS全称:跨站脚本(Cross Site Scripting) ,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。 二、XSS原理 服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。 三、XSS分类 1、反射型(非持久型) 反射型XSS,又称非持久型XSS,攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,恶意代码并没有保存在目标网站,而Web应用程序只是不加处理的把该恶意脚本“反射”回受害者的浏览器而使受害者的浏览器执行相应的脚本。 反射型(非持久型)图片 2、存储型(持久型) 存储型XSS是指应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在XSS代码的情况下,便将其存入数据库。当下一次从数据库中获取该数据时程序也未对其进行过滤,页面再次执行XSS代码持续攻击用户。存储型XSS漏洞大多出现在留言板、评论区,用户提交了包含XSS代码的留言到数据库,当目标用户查询留言时,那些留言的内容会从服务器解析之后加载出来。 存储型(持久型)图片 存储型(持久型)图片 3、DOM型(非持久型) DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式,DOM-XSS简单理解就是不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题。 DOM型(非持久型)图片 DOM型(非持久型)图片 四、XSS漏洞的危害 1.窃取用户Cookie 2.后台增删改文章 3.XSS钓鱼攻击 4.利用XSS漏洞进行传播和修改网页代码 5.XSS蠕虫攻击 6.网站重定向 7.获取键盘记录 8.获取用户信息等 五、XSS漏洞防御 1、对输入和URL参数进行过滤(白名单和黑名单) 检查用户输入的数据中是否包含一些特殊字符,如<、>、’、“等,发现存在特殊字符,将这些特殊字符过滤或者编码。 2、HTML实体编码 字符串js编码转换成实体html编码的方法(防范XSS攻击) https://www.cnblogs.com/dearxinli/p/5466286.html 3、对输出内容进行编码 在变量输出到HTML页面时,可以使用编码或转义的方式来防御XSS攻击。 4、对于typecho的 关闭评论 下载Typecho AntiXSS Plugin 下载地址:https://github.com/BakaLabs/Typecho-1.2-AntiXSS 提取码: 负责声明 部分图片转载自https://jingyan.baidu.com/article/495ba841a771f538b30ede82.html,版权归原网站或作者本人所有,若有无意侵权或转载不当之处请联系我处理,谢谢合作!
