PHP中防XSS攻击和防sql注入

SQL注入如何防？

TP中的底层已经做了防SQL注入的操作，只要我们操作数据库时使用TP提供给我们的方法就不会有问题，如添加商品时我们调用了add方法。唯一要注意的就是如果我们自己拼SQL执行时就要自己来过滤了。

 

总结：如果要自己拼SQL语句，一定要自己再过滤一下【addslashes】，也不是直接就能过滤，还要考虑PHP服务器有没有开启自动过滤的功能，如果服务器已经开启自动过滤的功能我们就不能再过滤，只有没有开启时才需要手动过滤：

注意：

1.不要两次过滤，原先是在单引号前加转义符，如果两次过滤就是\"，就失去了原来的意义的。

2.以前有一种写法是直接在输入框加个;分号，然后再写一句SQL语句，这种方法对asp有效，但是对php无效，因为php默认每次只能执行一条sql语句。

防XSS跨站脚本攻击：

1.使用htmlspecialchars函数进行过滤；

注意：

PHP5.3中这个函数有了第二个参数，设置了第二个参数会将单引号转换为'这样的实体，也可以防止SQL注入，因为这个符号对SQL并没有什么卵用。

用法：

<?php
$new = htmlspecialchars("<a href="test">Test</a>", ENT_QUOTES);
echo $new; // <a href="test">Test</a>
?> 

2.这里要注意一点，对于富文本编辑器的内容要特殊过滤，保留HTML和CSS这些内容，把script标签及其里面的内容删除；

3.特殊过滤（有选择性的过滤），采用第三方插件，Htmlpurifier

// 过滤XSS
function clearXSS($string)
{
	require_once "./htmlpurifier/HTMLPurifier.auto.php";
	// 生成配置对象
	$_clean_xss_config = HTMLPurifier_Config::createDefault();
	// 以下就是配置：
	$_clean_xss_config->set("Core.Encoding", "UTF-8");
	// 设置允许使用的HTML标签
	$_clean_xss_config->set("HTML.Allowed","div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]");
	// 设置允许出现的CSS样式属性
	$_clean_xss_config->set("CSS.AllowedProperties", "font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align");
	// 设置a标签上是否允许使用target="_blank"
	$_clean_xss_config->set("HTML.TargetBlank", TRUE);
	// 使用配置生成过滤用的对象
	$_clean_xss_obj = new HTMLPurifier($_clean_xss_config);
	// 过滤字符串
	//将script标签和其里面的内容都过滤掉
	return $_clean_xss_obj->purify($string);
}