详细代码如下:
复制代码 代码如下:
abstract class Filter { //filter parent class
private $blackstr = array();
private $whitestr = array();
function filtit($str) {
//do something
}
}
class LoginFilter extends Filter { //for user login filte
username(过滤注册的用户名)
function filtit($str) {
$this -> blackstr = array(
´/[\x7f-\xff]/´, //filter chinese include chinese symbol
´/\W/´ //filter all english symbol
);
return preg_replace($this->blackstr, ´´, $str);
}
}
class EditorFilter extends Filter { //for article editor
filter(过滤在线编辑器内容)
function filtit($str) {
$this -> blackstr = array(
´/\&/´,
´/\´/´,
´/\”/´,
´/\´,
´/\>/´,
´/\\\\/´,
´/\//´,
´/-/´,
´/\*/´,
´/ /´
);
$this -> whitestr = array(
´&´,
´’´,
´”´,
´´>´,
´\´,
´/´,
´-´,
´*´,
´ ´
);
return preg_replace($this->blackstr, $this -> whitestr, $str);
}
}
class SQLFilter extends Filter { //for filte sql query
string(过滤如查询或其它sql语句)
function filtit($str) {
$this -> blackstr = array(
´/\´/´,
´/-/´
);
return preg_replace($this->blackstr, ´´, $str);
}
}
class FileNameFilter extends Filter { //for filte a file
name(过滤文件名如下载文件名)
function filtit($str) {
$this -> blackstr = array(
´/[^A-za-z0-9_\.]|\\\\|\^|\[|\]/´
);
return preg_replace($this->blackstr, ´´, $str);
}
}
?>

详细代码如下: 复制代码 代码如下:
blackstr = array( ´/[\x7f-\xff]/´, //filter chinese include chinese
symbol ´/\W/´ //filter all english symbol ); return
preg_replace($this->blackstr, ´´, $str); } } class EditorFilter
extends Filter { //for article editor filter function filtit { $this
-> blackstr = array( ´/\&/´, ´/\´/´, ´/\”/´, ´/\´, ´/\>/´,
´/\\\\/´, ´/\//´, ´/-/´, ´/\*/´, ´/ /´ ); $this -> whitestr =
array( ´&´, ´’´, ´”´, ´´, ´\´, ´/´, ´-´, ´*´, ´´ ); return
preg_replace($this->blackstr, $this -> whitestr, $str); } } class
SQLFilter extends Filter { //for filte sql query string function filtit
{ $this -> blackstr = array( ´/\´/´, ´/-/´ ); return
preg_replace($this->blackstr, ´´, $str); } } class FileNameFilter
extends Filter { //for filte a file name function filtit { $this ->
blackstr = array( ´/[^A-za-z0-9_\.]|\\\\|\^|\[|\]/´ );
return preg_replace($this->blackstr, ´´, $str); } } ?>
使用方法如: 复制代码
代码如下:$filter = new FileNameFilter(); //定义实例 $downFile =
$filter->filtit($_GET[´fn´]); //调用过滤方法

CI安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可:

使用方法如:
复制代码 代码如下:
$filter = new FileNameFilter(); //定义实例
$downFile = $filter->filtit($_GET[´fn´]); //调用过滤方法

复制代码 代码如下:
$config[‘csrf_protection’] = TRUE;
$config[‘global_xss_filtering’] = TRUE;

并提供了实用方法:

复制代码 代码如下:
$this->security->xss_clean($data);//第二个参数为TRUE,验证图片安全
$this->security->sanitize_filename()//过滤文件名

CI也提供了安全函数:

xss_clean()//xss过滤
sanitize_filename()//净化文件名
do_hash()//md5或sha加密
strip_image_tags() //删除图片标签的不必要字符
encode_php_tags()//把PHP脚本标签强制转成实体对象

复制代码 代码如下:

/**
 * 安全类
 */
class CI_Security {
 //url的随机hash值
 protected $_xss_hash   = ”;
 //防csrf攻击的cookie标记的哈希值 
 protected $_csrf_hash   = ”;
 //防csrf cookie过期时间
 protected $_csrf_expire   = 7200;
 //防csrf的cookie名称
 protected $_csrf_token_name  = ‘ci_csrf_token’;
 //防csrf的token名称
 protected $_csrf_cookie_name = ‘ci_csrf_token’;
 //不允许出现的字符串数组
 protected $_never_allowed_str = array(
  ‘document.cookie’ => ‘[removed]’,
  ‘document.write’ => ‘[removed]’,
  ‘.parentNode’  => ‘[removed]’,
  ‘.innerHTML’  => ‘[removed]’,
  ‘window.location’ => ‘[removed]’,
  ‘-moz-binding’  => ‘[removed]’,
  ”    => ‘–>’,
  ‘ ‘   ”   => ”
 );
 //不允许出现的正则表达式数组
 protected $_never_allowed_regex = array(
  ‘javascript\s*:’,
  ‘expression\s*(\(|&\#40;)’, // CSS and IE
  ‘vbscript\s*:’, // IE, surprise!
  ‘Redirect\s+302’,
  “([\”‘])?data\s*:[^\\1]*?base64[^\\1]*?,[^\\1]*?\\1?”
 );
 //构造函数
 public function __construct()
 {
  // CSRF保护是否开启
  if (config_item(‘csrf_protection’) === TRUE)
  {
   // CSRF配置
   foreach (array(‘csrf_expire’, ‘csrf_token_name’,
‘csrf_cookie_name’) as $key)
   {
    if (FALSE !== ($val = config_item($key)))
    {
     $this->{‘_’.$key} = $val;
    }
   }
   // _csrf_cookie_name加上cookie前缀
   if (config_item(‘cookie_prefix’))
   {
    $this->_csrf_cookie_name =
config_item(‘cookie_prefix’).$this->_csrf_cookie_name;
   }
   // 设置csrf的hash值
   $this->_csrf_set_hash();
  }
  log_message(‘debug’, “Security Class Initialized”);
 }

Author

发表评论

电子邮件地址不会被公开。 必填项已用*标注