一起来写一个高效的xss_clean,是否可以

bardo

xss_clean的效率实在不敢恭维，根本点还是算法，大家是否有兴趣讨论一个快速高效的算法。
比如：安全的clean_filename绝不是象CI中的那些用数组一一清理，以下函数要比CI中的更加有效与安全：

PHP复制代码

function clean_file_name( &$file_name )
 {
  $file_name = strtolower( trim($file_name) );
 
  // Replace spaces with _
  $file_name = preg_replace( '/[\s]+/', '_', $file_name );
 
  // Remove all chars except a-z0-9-_.
  $file_name = preg_replace( '/[^a-z0-9'-_'.]+/', '', $file_name );
  if ($file_name[0] == '.') { // first char is dot
   $file_name = "_".$file_name;
  }
  if (!strlen($file_name)) { // if all chars were stripped out by regex
   $file_name = 'uploaded_file';
  }
  return $file_name;
 }

复制代码

Hex

呵呵，我也是觉得 CI 的 XSS 过滤效率有问题。
这么好的代码我先学习一下！

kkito

先科普一下xss是啥好不？

Hex

XSS = 跨站脚本攻击

bardo

因为htmlspecialchars从PHP 4.3.0 及其后续版本支持如下字符集。 已支持字符集 字符集 别名 描述
ISO-8859-1 ISO8859-1 西欧，Latin-1  
ISO-8859-15 ISO8859-15 西欧，Latin-9。增加了 Latin-1（ISO-8859-1）中缺少的欧元符号、法国及芬兰字母。  
UTF-8   ASCII 兼容多字节 8-bit Unicode。  
cp866 ibm866, 866 DOS-特有的 Cyrillic 字母字符集。PHP 4.3.2 开始支持该字符集。  
cp1251 Windows-1251, win-1251, 1251 Windows-特有的 Cyrillic 字母字符集。PHP 4.3.2 开始支持该字符集。  
cp1252 Windows-1252, 1252 Windows 对于西欧特有的字符集。  
KOI8-R koi8-ru, koi8r 俄文。PHP 4.3.2 开始支持该字符集。  
BIG5 950 繁体中文，主要用于中国台湾。  
GB2312 936 简体中文，国际标准字符集。  
BIG5-HKSCS   繁体中文，Big5 的延伸，主要用于香港。  
Shift_JIS SJIS, 932 日文。  
EUC-JP EUCJP 日文。  
对我们而言，无论是GB2312，还是UTF8，直接用strip_tags 加上 htmlspecialchars 即可

kkito

学习了一下下，这东西是不是能纯在客户端就能得到cookie啥的？

skeay

这个可以过滤 'or'='or'
and 1=1 是吧？

Hex

回复 7# skeay


    你这个不是 XSS 攻击，你这个是 SQL 注入，这个只需要转义相关字符即可，AR 类会帮你转义的。

skeay

哦 是这样啊