PHP防注入安全代码

最新推荐文章于 2023-07-21 12:14:00 发布
最新推荐文章于 2023-07-21 12:14:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: php编程 文章标签: php function include string merge url

简述:/*************************
说明:
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能:防注入
**************************/ 

<?php

//要过滤的非法字符
$ArrFiltrate=array("'",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
  if (eregi($value,$StrFiltrate)){
    return true;
  }
}
return false;
}

//合并$_POST 和 $_GET
if(function_exists(array_merge)){
  $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
  foreach($HTTP_POST_VARS as $key=>$value){
    $ArrPostAndGet[]=$value;
  }
  foreach($HTTP_GET_VARS as $key=>$value){
    $ArrPostAndGet[]=$value;
  }
}

//验证开始
foreach($ArrPostAndGet as $key=>$value){
  if (FunStringExist($value,$ArrFiltrate)){
    echo "<script language=/"javascript/">alert(/"非法字符/");</script>";
    if (empty($StrGoUrl)){
    echo "<script language=/"javascript/">history.go(-1);</script>";
    }else{
    echo "<script language=/"javascript/">window.location=/"".$StrGoUrl."/";</script>";
    }
    exit;
  }
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

方法2

/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=>$get_var)
{
 if (is_numeric($get_var)) {
  $get[strtolower($get_key)] = get_int($get_var);
 } else {
  $get[strtolower($get_key)] = get_str($get_var);
 }
}

/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
 if (is_numeric($post_var)) {
  $post[strtolower($post_key)] = get_int($post_var);
 } else {
  $post[strtolower($post_key)] = get_str($post_var);
 }
}

/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
    return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
    if (!get_magic_quotes_gpc()) {
 return addslashes($string);
    }
    return $string;
}


我们把以上代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们一劳永逸的效果。

musttieying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通俗易懂的php注入代码
10-29
一直搞.net ,最近研究PHP,也涉及到注入安全措施,和.net的大同小异,从网上摘回一篇,作为备注,以供自己需要时查阅。
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2019
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes止SQL注入,还是建议大家加强中文止SQL注入的检查。
PHP止 SQL 注入
weixin_50251467的博客
07-21 522
我们可以将预处理语句与 PDO 一起使用,以止在 PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以止在 PHP 中进行 SQL 注入
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2272
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
一段困扰许久的注入代码
热门推荐
12-18 4万+
有段时间一直热衷于研究各种waf绕过,一般来说,云WAF可以通过找到网站真实IP来绕过,硬件waf也常因为HTTP协议解析差异导致绕过,但是,代码层的护往往只能从代码逻辑里寻找绕过思路...
php注入安全代码,PHP 注入安全实现程序代码
weixin_33206743的博客
03-12 188
/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false函数作者:heiyeluren*/function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*...
360提供的phpsql注入代码修改类
05-02
从360提供的PHPSQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。
PHP通用注入安全代码-修改可用
05-15
PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用
常见的PHP安全
阳水平的博客
05-23 3604
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
轻松实现php代码注入,保护代码安全
02-17
今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。 我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我们要做的工作就是过滤每个变量就可以了。 下面看具体的代码php代码: 以下为引用的内容: /* PHP118= 全球最大的PHP中文社群 = PHPer的网上家园 */ /* Author: heiyeluren */ /* 过滤所有GET过来变量 */ foreach ($_GET as $get_key=%26gt;$get_var) { if (is_numeric($get_var)) if (is_numeric($get_var)) { $get[strtolower($get_key)] = get_int($get_var); } else { $get[strtolower($get_key)] = get_str($get_var); } } /* 过滤所有POST过来的变量 */ foreach ($_POST as $post_key=%26gt;$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } /* 过滤函数 */ //整型过滤函数 function get_int($number) { return intval($number); } //字符串型过滤函数 function get_str($string) { if (!get_magic_quotes_gpc()) { return addslashes($string); } return $string; } 那么我们把以上代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们一劳永逸的效果。
php通用注入类.zip
07-11
php通用注入
SQL注入php代码
08-24
SQL注入php,通用注入
比较好用的PHP注入漏洞过滤函数代码
12-18
复制代码 代码如下: <?PHP //PHP整站注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); function sec(&$array) { //如果是数组,遍历数组,递归调用 if (is_array (
php注入代码
10-12
1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 761
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
注入php 留言板代码,简单的 php 注入代码
weixin_39765697的博客
04-10 144
简明现代魔法 -> PHP服务器脚本 -> 简单的 php 注入代码简单的 php 注入代码2010-04-10介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可:php注入代码方法一://要过滤的非法字符$ArrFiltrate=array("‘",";","union");//出错后要...
php代码注入,简单的php注入代码
weixin_39932762的博客
03-17 467
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1254
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
360 phpsql注入代码
最新发布
02-05
PHP是一种常用的服务器端脚本语言,用于开发Web应用程序。为了止SQL注入攻击,我们可以采取以下措施来...总结来说,为了止SQL注入攻击,在开发PHP代码时应该始终保持警惕,并使用以上措施来保护数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值