开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Linux/Unix编程 > 网络 > 查看源码
phpinputfilter.inputfilter.php
资源名称:com_comprofiler.zip [点击查看]
上传用户:stephen_wu
上传日期:2008-07-05
资源大小:1757k
文件大小:13k
源码类别:

网络

开发平台:

Unix_Linux

phpinputfilter.inputfilter.php:源码内容
  1. <?php
  3. /** @class: InputFilter (PHP4 & PHP5, with comments)
  4.   * @project: PHP Input Filter
  5.   * @date: 10-05-2005
  6.   * @version: 1.2.2_php4/php5
  7.   * @author: Daniel Morris
  8.   * @contributors: Gianpaolo Racca, Ghislain Picard, Marco Wandschneider, Chris Tobin and Andrew Eddie.
  9.   * Beat from joomlapolis.com: tightened multi-level arrays: see //BB below
  10.   * @copyright: Daniel Morris
  11.   * @email: dan@rootcube.com
  12.   * @license: GNU General Public License (GPL) (v2 at time of publishing and usage in CB)
  13.   */
  14. class CBInputFilter {
  15. var $tagsArray; // default = empty array
  16. var $attrArray; // default = empty array
  18. var $tagsMethod; // default = 0
  19. var $attrMethod; // default = 0
  21. var $xssAuto;           // default = 1
  22. var $tagBlacklist = array('applet', 'body', 'bgsound', 'base', 'basefont', 'embed', 'frame', 'frameset', 'head', 'html', 'id', 'iframe', 'ilayer', 'layer', 'link', 'meta', 'name', 'object', 'script', 'style', 'title', 'xml');
  23. var $attrBlacklist = array('action', 'background', 'codebase', 'dynsrc', 'lowsrc');  // also will strip ALL event handlers
  25. /** 
  26.   * Constructor for inputFilter class. Only first parameter is required.
  27.   * @access constructor
  28.   * @param Array $tagsArray - list of user-defined tags
  29.   * @param Array $attrArray - list of user-defined attributes
  30.   * @param int $tagsMethod - 0= allow just user-defined, 1= allow all but user-defined
  31.   * @param int $attrMethod - 0= allow just user-defined, 1= allow all but user-defined
  32.   * @param int $xssAuto - 0= only auto clean essentials, 1= allow clean blacklisted tags/attr
  33.   */
  34. function CBInputFilter($tagsArray = array(), $attrArray = array(), $tagsMethod = 0, $attrMethod = 0, $xssAuto = 1) {
  35. // make sure user defined arrays are in lowercase
  36. for ($i = 0; $i < count($tagsArray); $i++) $tagsArray[$i] = strtolower($tagsArray[$i]);
  37. for ($i = 0; $i < count($attrArray); $i++) $attrArray[$i] = strtolower($attrArray[$i]);
  38. // assign to member vars
  39. $this->tagsArray = (array) $tagsArray;
  40. $this->attrArray = (array) $attrArray;
  41. $this->tagsMethod = $tagsMethod;
  42. $this->attrMethod = $attrMethod;
  43. $this->xssAuto = $xssAuto;
  44. }
  46. /** 
  47.   * Method to be called by another php script. Processes for XSS and specified bad code.
  48.   * @access public
  49.   * @param Mixed $source - input string/array-of-string to be 'cleaned'
  50.   * @return String $source - 'cleaned' version of input parameter
  51.   */
  52. function process($source) {
  53. // clean all elements in this array
  54. if (is_array($source)) {
  55. foreach($source as $key => $value)
  56. // filter element for XSS and other 'bad' code etc.
  57. //BB: if (is_string($value)) $source[$key] = $this->remove($this->decode($value));
  58. $source[$key] = $this->process( $value ); //BB changed line before with this line to take in account multi-level arrays
  59. return $source;
  60. // clean this string
  61. } else if (is_string($source) && ( $source !== '' ) ) {
  62. // filter source for XSS and other 'bad' code etc.
  63. return $this->remove($this->decode($source));
  64. // return parameter as given
  65. } else return $source;
  66. }
  68. /** 
  69.   * Internal method to iteratively remove all unwanted tags and attributes
  70.   * @access protected
  71.   * @param String $source - input string to be 'cleaned'
  72.   * @return String $source - 'cleaned' version of input parameter
  73.   */
  74. function remove($source) {
  75. $loopCounter=0;
  76. // provides nested-tag protection
  77. while($source != $this->filterTags($source)) {
  78. $source = $this->filterTags($source);
  79. $loopCounter++;
  80. }
  81. return $source;
  82. }
  84. /** 
  85.   * Internal method to strip a string of certain tags
  86.   * @access protected
  87.   * @param String $source - input string to be 'cleaned'
  88.   * @return String $source - 'cleaned' version of input parameter
  89.   */
  90. function filterTags($source) {
  91. // filter pass setup
  92. $preTag = NULL;
  93. $postTag = $source;
  94. // find initial tag's position
  95. $tagOpen_start = strpos($source, '<');
  96. // interate through string until no tags left
  97. while($tagOpen_start !== FALSE) {
  98. // process tag interatively
  99. $preTag .= substr($postTag, 0, $tagOpen_start);
  100. $postTag = substr($postTag, $tagOpen_start);
  101. $fromTagOpen = substr($postTag, 1);
  102. // end of tag
  103. $tagOpen_end = strpos($fromTagOpen, '>');
  104. if ($tagOpen_end === false) {
  105. //- break;
  106. $postTag = substr( $postTag, $tagOpen_start + 1 ); //+
  107. $tagOpen_start = strpos( $postTag, '<' ); //+
  108. continue; //+
  109. }
  110. // next start of tag (for nested tag assessment)
  111. $tagOpen_nested = strpos($fromTagOpen, '<');
  112. if (($tagOpen_nested !== false) && ($tagOpen_nested < $tagOpen_end)) {
  113. $preTag .= substr($postTag, 0, ($tagOpen_nested+1));
  114. $postTag = substr($postTag, ($tagOpen_nested+1));
  115. $tagOpen_start = strpos($postTag, '<');
  116. continue;
  118. $tagOpen_nested = (strpos($fromTagOpen, '<') + $tagOpen_start + 1);
  119. $currentTag = substr($fromTagOpen, 0, $tagOpen_end);
  120. $tagLength = strlen($currentTag);
  121. //- if (!$tagOpen_end) {
  122. //- $preTag .= $postTag;
  123. //- $tagOpen_start = strpos($postTag, '<');
  124. //- }
  125. // iterate through tag finding attribute pairs - setup
  126. $tagLeft = $currentTag;
  127. $attrSet = array();
  128. $currentSpace = strpos($tagLeft, ' ');
  129. // is end tag
  130. if (substr($currentTag, 0, 1) == "/") {
  131. $isCloseTag = TRUE;
  132. list($tagName) = explode(' ', $currentTag);
  133. $tagName = substr($tagName, 1);
  134. // is start tag
  135. } else {
  136. $isCloseTag = FALSE;
  137. list($tagName) = explode(' ', $currentTag);
  138. }
  139. // excludes all "non-regular" tagnames OR no tagname OR remove if xssauto is on and tag is blacklisted
  140. if ((!preg_match("/^[a-z][a-z0-9]*$/i",$tagName)) || (!$tagName) || ((in_array(strtolower($tagName), $this->tagBlacklist)) && ($this->xssAuto))) { 
  141. $postTag = substr($postTag, ($tagLength + 2));
  142. $tagOpen_start = strpos($postTag, '<');
  143. // don't append this tag
  144. continue;
  145. }
  146. // this while is needed to support attribute values with spaces in!
  147. while ($currentSpace !== FALSE) {
  148. $fromSpace = substr($tagLeft, ($currentSpace+1));
  149. $nextSpace = strpos($fromSpace, ' ');
  150. $openQuotes = strpos($fromSpace, '"');
  151. $closeQuotes = strpos(substr($fromSpace, ($openQuotes+1)), '"') + $openQuotes + 1;
  152. // another equals exists
  153. if (strpos($fromSpace, '=') !== FALSE) {
  154. // opening and closing quotes exists
  155. if (($openQuotes !== FALSE) && (strpos(substr($fromSpace, ($openQuotes+1)), '"') !== FALSE))
  156. $attr = substr($fromSpace, 0, ($closeQuotes+1));
  157. // one or neither exist
  158. else $attr = substr($fromSpace, 0, $nextSpace);
  159. // no more equals exist
  160. } else $attr = substr($fromSpace, 0, $nextSpace);
  161. // last attr pair
  162. if (!$attr) $attr = $fromSpace;
  163. // add to attribute pairs array
  164. $attrSet[] = $attr;
  165. // next inc
  166. $tagLeft = substr($fromSpace, strlen($attr));
  167. $currentSpace = strpos($tagLeft, ' ');
  168. }
  169. // appears in array specified by user
  170. $tagFound = in_array(strtolower($tagName), $this->tagsArray);
  171. // remove this tag on condition
  172. if ((!$tagFound && $this->tagsMethod) || ($tagFound && !$this->tagsMethod)) {
  173. // reconstruct tag with allowed attributes
  174. if (!$isCloseTag) {
  175. $attrSet = $this->filterAttr($attrSet);
  176. $preTag .= '<' . $tagName;
  177. for ($i = 0; $i < count($attrSet); $i++)
  178. $preTag .= ' ' . $attrSet[$i];
  179. // reformat single tags to XHTML
  180. if (strpos($fromTagOpen, "</" . $tagName)) $preTag .= '>';
  181. else $preTag .= ' />';
  182. // just the tagname
  183.     } else $preTag .= '</' . $tagName . '>';
  184. }
  185. // find next tag's start
  186. $postTag = substr($postTag, ($tagLength + 2));
  187. $tagOpen_start = strpos($postTag, '<');
  188. }
  189. // append any code after end of tags
  190. if ($postTag != '<') { //+
  191. $preTag .= $postTag;
  192. }
  193. return $preTag;
  194. }
  196. /** 
  197.   * Internal method to strip a tag of certain attributes
  198.   * @access protected
  199.   * @param Array $attrSet
  200.   * @return Array $newSet
  201.   */
  202. function filterAttr($attrSet) {
  203. $newSet = array();
  204. // process attributes
  205. for ($i = 0; $i <count($attrSet); $i++) {
  206. // skip blank spaces in tag
  207. if (!$attrSet[$i]) continue;
  208. // split into attr name and value
  209. $attrSubSet = explode('=', trim($attrSet[$i]), 2 ); //+ ',2'
  210. list($attrSubSet[0]) = explode(' ', $attrSubSet[0]);
  211. // removes all "non-regular" attr names AND also attr blacklisted
  212. if (( ! preg_match( "/^[a-zA-Z]*$/", $attrSubSet[0] ) ) || (($this->xssAuto) && ((in_array(strtolower($attrSubSet[0]), $this->attrBlacklist)) || (substr($attrSubSet[0], 0, 2) == 'on'))) || ! isset($attrSubSet[1] )) //BB replaced eregi by pregmatch added last ! isset($attrSubSet[1]
  213. continue;
  214. // xss attr value filtering
  215. if ($attrSubSet[1]) {
  216. // strips unicode, hex, etc
  217. $attrSubSet[1] = str_replace('&#', '', $attrSubSet[1]);
  218. // strip normal newline within attr value
  219. $attrSubSet[1] = preg_replace('/s+/', '', $attrSubSet[1]);
  220. // strip double quotes
  221. $attrSubSet[1] = str_replace('"', '', $attrSubSet[1]);
  222. // [requested feature] convert single quotes from either side to doubles (Single quotes shouldn't be used to pad attr value)
  223. if ((substr($attrSubSet[1], 0, 1) == "'") && (substr($attrSubSet[1], (strlen($attrSubSet[1]) - 1), 1) == "'"))
  224. $attrSubSet[1] = substr($attrSubSet[1], 1, (strlen($attrSubSet[1]) - 2));
  225. // strip slashes
  226. $attrSubSet[1] = stripslashes($attrSubSet[1]);
  227. }
  228. // auto strip attr's with "javascript:
  229. if ( ((strpos(strtolower($attrSubSet[1]), 'expression') !== false) && (strtolower($attrSubSet[0]) == 'style')) ||
  230. (strpos(strtolower($attrSubSet[1]), 'javascript:') !== false) ||
  231. (strpos(strtolower($attrSubSet[1]), 'behaviour:') !== false) ||
  232. (strpos(strtolower($attrSubSet[1]), 'vbscript:') !== false) ||
  233. (strpos(strtolower($attrSubSet[1]), 'mocha:') !== false) ||
  234. (strpos(strtolower($attrSubSet[1]), 'livescript:') !== false) 
  235. ) continue;
  237. // if matches user defined array
  238. $attrFound = in_array(strtolower($attrSubSet[0]), $this->attrArray);
  239. // keep this attr on condition
  240. if ((!$attrFound && $this->attrMethod) || ($attrFound && !$this->attrMethod)) {
  241. // attr has value
  242. if ($attrSubSet[1]) $newSet[] = $attrSubSet[0] . '="' . $attrSubSet[1] . '"';
  243. // attr has decimal zero as value
  244. else if ($attrSubSet[1] == "0") $newSet[] = $attrSubSet[0] . '="0"';
  245. // reformat single attributes to XHTML
  246. else $newSet[] = $attrSubSet[0] . '="' . $attrSubSet[0] . '"';
  247. }
  248. }
  249. return $newSet;
  250. }
  252. /** 
  253.   * Try to convert to plaintext
  254.   * @access protected
  255.   * @param String $source
  256.   * @return String $source
  257.   */
  258. function decode($source) {
  259. // url decode
  260. $source = html_entity_decode($source, ENT_QUOTES, "ISO-8859-1");
  261. // convert decimal
  262. $source = preg_replace('/&#(d+);/me',"chr(\1)", $source); // decimal notation
  263. // convert hex
  264. $source = preg_replace('/&#x([a-f0-9]+);/mei',"chr(0x\1)", $source); // hex notation
  265. return $source;
  266. }
  268. /** 
  269.   * Method to be called by another php script. Processes for SQL injection
  270.   * @access public
  271.   * @param Mixed $source - input string/array-of-string to be 'cleaned'
  272.   * @param Buffer $connection - An open MySQL connection
  273.   * @return String $source - 'cleaned' version of input parameter
  274.   */
  275. function safeSQL($source, &$connection) {
  276. // clean all elements in this array
  277. if (is_array($source)) {
  278. foreach($source as $key => $value)
  279. // filter element for SQL injection
  280. if (is_string($value)) $source[$key] = $this->quoteSmart($this->decode($value), $connection);
  281. return $source;
  282. // clean this string
  283. } else if (is_string($source)) {
  284. // filter source for SQL injection
  285. if (is_string($source)) return $this->quoteSmart($this->decode($source), $connection);
  286. // return parameter as given
  287. } else return $source;
  288. }
  290. /** 
  291.   * @author Chris Tobin
  292.   * @author Daniel Morris
  293.   * @access protected
  294.   * @param String $source
  295.   * @param Resource $connection - An open MySQL connection
  296.   * @return String $source
  297.   */
  298. function quoteSmart($source, &$connection) {
  299. // strip slashes
  300. if (get_magic_quotes_gpc()) $source = stripslashes($source);
  301. // quote both numeric and text
  302. $source = $this->escapeString($source, $connection);
  303. return $source;
  304. }
  306. /** 
  307.   * @author Chris Tobin
  308.   * @author Daniel Morris
  309.   * @access protected
  310.   * @param String $source
  311.   * @param Resource $connection - An open MySQL connection
  312.   * @return String $source
  313.   */
  314. function escapeString($string, &$connection) {
  315. // depreciated function
  316. if (version_compare(phpversion(),"4.3.0", "<")) mysql_escape_string($string);
  317. // current function
  318. else mysql_real_escape_string($string);
  319. return $string;
  320. }
  321. }
  323. ?>