PHP防止JS注入正则

JavaScript04

PHP防止JS注入正则,第1张

例子

代码如下  

$a ="/<script[^>]*?>*?</script>/si"$keyword = preg_replace($a $_POST[ searchword ])

其它方法

代码如下   lishixinzhi/Article/program/PHP/201311/21191

在java Web体系中,可以写自定义标签,过滤用户输入,也可以写一个filter过滤器。比如说自定义标签。

开发步骤:

1 写一个标签处理类

2  在/WEB-INF/目录下,写一个*.tld文件,目的是让Web容器知道自定义标签和标签处理类的对应关系

3 在JSP页面中,通过<%@taglib%>指令引用标签库.

4 部署web应用,访问simple.jsp即可

其中,标签处理类可以这样写,转义大于号,小于号等特殊符号。

package cn.itcast.web.jsp.tag

import java.io.IOException

import java.io.StringWriter

import javax.servlet.jsp.JspException

import javax.servlet.jsp.PageContext

import javax.servlet.jsp.tagext.JspFragment

import javax.servlet.jsp.tagext.SimpleTagSupport

//<simple:filter>标签处理类

public class FilterTag extends SimpleTagSupport {

public void doTag() throws JspException, IOException {

JspFragment jspFragment = this.getJspBody()

StringWriter writer = new StringWriter()

jspFragment.invoke(writer)

String temp = writer.getBuffer().toString()

//结果必定是转义后的字符串

temp = filter(temp)

PageContext pageContext = (PageContext) this.getJspContext()

pageContext.getOut().write(temp)

}

public String filter(String message) {

        if (message == null)

            return (null)

        char content[] = new char[message.length()]

        message.getChars(0, message.length(), content, 0)

        StringBuffer result = new StringBuffer(content.length + 50)

        for (int i = 0 i < content.length i++) {

            switch (content[i]) {

            case '<':

                result.append("&lt")

                break

            case '>':

                result.append("&gt")

                break

            case '&':

                result.append("&amp")

                break

            case '"':

                result.append("&quot")

                break

            default:

                result.append(content[i])

            }

        }

        return (result.toString())

    }

}