php 正则匹配preg_replace过滤src部分内容

php 正则匹配preg_replace过滤src部分内容
首先是这样子滴,某个平台不想用外部的图片链接地址,只允许使用内部的,还不想让外部的内容带有XSS,所以嘞。我们需要过滤src链接地址,最终代码如下,因为用的yii2.0框架,所以嘞,HTMLPurifier直接过滤XSS,正则直接过滤http|https://,最终就是。。。解决了。。。   preg_replace("/src=.*?(\/\/)/iU" ,"alt=\"此图可能来自外部链接已被过滤\" src=\"",$str)  ...

你的微信朋友圈沦为你的利用工具了么?

你的微信朋友圈沦为你的利用工具了么?
其实早都该更新博客了,但是一直也是忘记更新,最近脑海中也一直再想这个话题。主要原因还是发现很多人的朋友圈发的东西都是特别的有目的性,准确说目的性较强! 记得微信刚刚出来的时候,那个时候的微信朋友圈像一个刚出生的婴儿,那个时候的微信朋友圈像一张白纸,记录着人们生活的点滴。慢慢的,有心人从中发现商机,微商火了,微信朋友圈沦为人们赚钱利用的工具,不过...

yii2用表单上传文件的方法(多文件上传方法)

yii2用表单上传文件的方法(多文件上传方法)
1、单个文件上传 首先建立一个模型models/UploadForm.php,内容如下 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 namespace app\models;   use yii\base\Model; use yii\web\UploadedFile;   /** * UploadForm is the model behind the upload form. */ class UploadForm extends Model { /** * @var UploadedFile file ...

yii2.0 GridView常见操作

yii2.0 GridView常见操作
收集了网络上GridView出现的大部分问题做一个总结,希望有一个能帮助到你。 如果下面有没说到的GridView常见问题,下方留言,我会进行补充。 下拉搜索 日期格式化并实现日期可搜索 根据参数进行是否显示 链接可点击跳转 显示图片 html渲染 自定义按钮 设定宽度等样式 自定义字段 自定义行样式 增加按钮调用js操作 实现批量删除案例 批量删除 禁止排序 table加表头 字段内容...

Yii2.0 rules验证规则大全

Yii2.0 rules验证规则大全
required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredValidator 的别名, 确保了特性不为空. email : 邮箱验证 ['email', 'email']; #说明:CEmailValidator的别名,确保了特性的值是一个有效的电邮地址. match : 正则验证 [['字段名'],'match','pattern'=>'正则表达式','message'=>'提示信息']; [...

无助

无助
无助 无论你是不是一人在外只身外漂泊,还是在家都应该有过这种体验,遇到了某些问题,可能最终都得到了解决,但是解决的过程中都会遭遇各种无助,而且特别的无助。有的时候也是这种无助让你自己变得更坚强,更独立。 对无助我也是同样的深有体会,所以每每身边有人需要帮助的时候我都会尽全力去帮助他(千万别提钱,太伤感情了,这年头真真的,已经被伤的太深了,关键我太实...

一波三折之某站点反射XSS (绕WAF防御)

一波三折之某站点反射XSS (绕WAF防御)
【前言】其实就是废话,又到了一年一度的回家季,说真心的12306的验证码设计者真TM日过狗吧。让我找飞碟,除了科幻片我上TM哪见飞碟去我。算了,然后去别的网站买票吧。先看看这个网站的SEO信息。 百度权重:9         360权重:7        GooglePR:7 【正文】先随便搜索一下,搜一下去哈尔滨的票吧。然后随后闭合一下参数,如下图。 html闭合input参数 呃。。。这个水印好...

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程
朋友丢给了我一个反射xss让我来尝试getexploit,xss被京东以不能跨站,没有危害的理由忽略了该漏洞,好熟悉的理由。今年中的时候,丢了一个xss到京东,由于长度问题被拒绝了,不过还是解决了,话不多说,我们看一下这一处xss。 弹窗XSS 输入alert语句直接被执行了,看一下代码 window.siteId=1; window.circleid=3; window.threadId=alert(1); 牛刀小试,既然这么简单,直接...

密码保护:防SQL注入 防XSS PHP安全类文件 Security.php 修复版

密码保护:防SQL注入 防XSS  PHP安全类文件 Security.php 修复版
今天修复了一个PHP的安全类文件,也不算是修复吧。主要的功能是防止SQL注入的产生,还有防止XSS。直接在最初就给过滤了这些。 文件出处不能说,秘密。。。嘎嘎,就保密一下了 首先说一下引用方式在核心文件最初处添加如下代码: 1 2 3 4 5 //防止xss攻击 防SQL注入 require_once dirname(__FILE__).'/protected/components/Security.php'; Security::headerCLeaner...

xss Fuzzy test 参数代码 及绕过WAF方式

xss Fuzzy test 参数代码 及绕过WAF方式
一系列XSSFuzll 参数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 onerror onload onmouseenter onstalled onclick onmousemove...