PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: sql注入 php xss 文章标签: php sql注入 安全 xss
php 同时被 3 个专栏收录
91 篇文章 0 订阅
订阅专栏
sql注入
2 篇文章 0 订阅
订阅专栏
xss
2 篇文章 0 订阅
订阅专栏

由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。

主要功能:拦截攻击者注入恶意代码,可以防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。

<?php
/**
 * 安全模块
 * 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤
 */
class safeMode{

    /**
     * 执行过滤
     * @param 1 linux/2 http/3 Db/ $group
     * @param 保存路径以及文件名/文件名/null $projectName
     */
    public function xss($group = 1,$projectName = NULL){
        //正则条件
        $referer = empty ( $_SERVER ['HTTP_REFERER'] ) ? array () : array ($_SERVER ['HTTP_REFERER'] );
        $getfilter = "'|<[^>]*?>|^\\+\/v(8|9)|\\b(and|or)\\b.+?(>|<|=|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
        $postfilter = "^\\+\/v(8|9)|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|<\\s*img\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
        $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

        // $ArrPGC=array_merge($_GET,$_POST,$_COOKIE);

        //遍历过滤
        foreach ( $_GET as $key => $value ) {
            $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName,'get');
        }
        //遍历过滤
        foreach ( $_POST as $key => $value ) {
            $this->stopAttack ( $key, $value, $postfilter ,$group , $projectName,'post');
        }
        //遍历过滤
        foreach ( $_COOKIE as $key => $value ) {
            $this->stopAttack ( $key, $value, $cookiefilter ,$group , $projectName,'cookie');
        }
        //遍历过滤
        foreach ( $referer as $key => $value ) {
            $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName,'referer');
        }
    }

    /**
     * 匹配敏感字符串,并处理
     * @param 参数key $strFiltKey
     * @param 参数value $strFiltValue
     * @param 正则条件 $arrFiltReq
     * @param 项目名 $joinName
     * @param 1 linux/2 http/3 Db/ $group
     * @param 项目名/文件名/null $projectName
     */
    public function stopAttack($strFiltKey, $strFiltValue, $arrFiltReq,$group = 1,$projectName = NULL,$method_type) {

            $strFiltValue = $this->arr_foreach ( $strFiltValue );
            //匹配参数值是否合法
            if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltValue ) == 1) {
                //记录ip
                $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];
                //记录操作时间
                $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");
                //记录详细页面带参数
                $thePage = " 操作页面: ".$this->request_uri();
                //记录提交方式
                $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];
                //记录提交参数
                $key = " 提交参数: ".$strFiltKey;
                //记录参数
                $value = " 提交数据: ".htmlspecialchars($strFiltValue);
                //写入日志
                $strWord = $ip.$time.$thePage.$type.$key.$value;
                //过滤值 rin 20140310
                if($method_type=='get'){
                    $_GET[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_POST[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_COOKIE[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_SERVER[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }
                //保存为linux类型
                if($group == 1){
                    $this->log_result_common($strWord,$projectName);
                }
                //保存为可web浏览
                if($group == 2){
                    $strWord .= "<br>";
                    $this->slog($strWord,$projectName);
                }
                //保存至数据库
                if($group == 3){
                    $this->sDb($strWord);   
                }
                //过滤参数
                $_REQUEST[$strFiltKey] = '';
                //这里不作退出处理
                //exit;
            }

            //匹配参数是否合法
            if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltKey ) == 1) {
                //记录ip
                $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];
                //记录操作时间
                $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");
                //记录详细页面带参数
                $thePage = " 操作页面: ".$this->request_uri();
                //记录提交方式
                $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];
                //记录提交参数
                $key = " 提交参数: ".$strFiltKey;
                //记录参数
                $value = " 提交数据: ".htmlspecialchars($strFiltValue);
                //写入日志
                $strWord = $ip.$time.$thePage.$type.$key.$value;
                //保存为linux类型
                if($group == 1){
                    $this->log_result_common($strWord,$projectName);
                }
                //保存为可web浏览
                if($group == 2){
                    $strWord .= "<br>";
                    $this->slog($strWord,$projectName);
                }
                //保存至数据库
                if($group == 3){
                    $this->sDb($strWord);   
                }
                //过滤参数
                $_REQUEST[$strFiltKey] = '';
                //这里不作退出处理
                //exit;
            }
        }

    /**
     * 获取当前url带具体参数
     * @return string
     */
    public function request_uri() {
        if (isset ( $_SERVER ['REQUEST_URI'] )) {
            $uri = $_SERVER ['REQUEST_URI'];
        } else {
            if (isset ( $_SERVER ['argv'] )) {
                $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['argv'] [0];
            } else {
                $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['QUERY_STRING'];
            }
        }
        return $uri;
    }


    /**
     * 日志记录(linux模式)
     * @param 保存内容 $strWord
     * @param 保存文件名$strPathName
     */
    public function log_result_common($strWord, $strPathName = NULL) {
        if($strPathName == NULL){
            $strPath = "/var/tmp/";
            $strDay = date('Y-m-d');
            $strPathName = $strPath."common_log_".$strDay.'.log';
        }

        $fp = fopen($strPathName,"a");
        flock($fp, LOCK_EX) ;
        fwrite($fp,$strWord." date ".date('Y-m-d H:i:s',time())."\t\n");
        flock($fp, LOCK_UN);
        fclose($fp);
    }  

    /**
     * 写入日志(支持http查看)
     * @param 日志内容 $strWord
     * @param web页面文件名 $fileName
     */
    public function slog($strWord,$fileName = NULL) {
        if($fileName == NULL){
            $toppath = $_SERVER ["DOCUMENT_ROOT"] . "/log.htm";
        }else{
            $toppath = $_SERVER ["DOCUMENT_ROOT"] .'/'. $fileName;
        }
        $Ts = fopen ( $toppath, "a+" );
        fputs ( $Ts, $strWord . "\r\n" );
        fclose ( $Ts );
    }

    /**
     * 写入日志(数据库)
     * @param 日志内容 $strWord
     */
    public function sDb($strWord){
        //....
    }

    /**
     * 递归数组
     * @param array $arr
     * @return unknown|string
     */
    public function arr_foreach($arr) {
        static $str = '';
        if (! is_array ( $arr )) {
            return $arr;
        }
        foreach ( $arr as $key => $val ) {
            if (is_array ( $val )) {
                $this->arr_foreach ( $val );
            } else {
                $str [] = $val;
            }
        }
        return implode ( $str );
    }
}
?>

//实例类库
$safeMode = new safeMode();
//这里的参数指的的时 类型,保存的文件名,具体请看类注视。
$safeMode->xss(2,'test.html');


幸福男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击sql注入.zip
应用安全系列之十七:xQuery注入
jimmyleeee的专栏
03-12 488
本系列文章主旨在于介绍一些漏洞型产生的基本原理,探索最基础的解决问题的措施。 关于xQuery标准的详细信息可以参考http://www.w3.org/TR/xquery/, 这里只做简单介绍。 XQuery语言是用于查询存储在XML数据库的数据的语言,它可以看做是XPath语言的一个超集。主要用到的XQuery的功能包括: 构建XQL查询 从XML数据库获取信息给web服务或者应用 从XML数据库中年获取XML格式的报告 把XML数据转换成XHTML 快速遍历XML树 根据过滤器过滤..
检验危险字符串 防止SQL注入
享耳三羊
11-12 3668
#region 检查危险字符         ///         /// 检查危险字符         ///         ///         ///         public static string Filter(string sInput)         {             if (sInput == null || sInput == "
PHP代码审计————10、PHP代码审计之XSS
Fly_鹏程万里
05-16 614
XSS漏洞大致分为三种反射型XSS漏洞存储型XSS漏洞基于DOM的XSS漏洞反射型XSS漏洞它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行它的特点是非持久化,必须用户点击带有特定参数的链接才能引起该漏洞的触发变量直接输出&lt;?php echo $_GET['xss']; ?&gt;$_SERVER变量参数$_SERVER[...
【应用安全——XSS】Referer XSS
Fly_鹏程万里
02-22 2877
首先说一下不同浏览器对’ ” &lt; &gt;的URL编码机制是不同的,例如: IE: 不会对’ ” &lt; &gt;编码 Chrome: 会对’ ” &lt; &gt;编码 FireFox: 会对’ ” &lt; &gt;编码 以PHP为例,$_GET[‘x’]获取参数值时会对参数进行URL解码。 而如果服务端取出URI直接回显的话就会导致XSS。 如果服务...
SQL盲注、SQL注入 - SpringBoot配置SQL注入过滤器
C3Stones
09-17 2236
1. SQL盲注、SQL注入   风险:可能会查看、修改或删除数据库条目和表。原因: 未对用户输入正确执行危险字符清理。固定值: 查看危险字符注入的可能解决方案。 2. pom.xml添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spr...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
10-19
主要介绍了PHP实现表单提交数据的验证处理功能,可实现防SQL注入XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
防止xsssql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var ...]”) //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) { rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
过滤mysql注入_MySQL手工注入进阶篇——突破过滤危险字符问题
weixin_42299150的博客
01-18 229
前言当我们在进行手工注入时,有时候会发现咱们构造的危险字符被过滤了,接下来,我就教大家如何解决这个问题。下面是我的实战过程。这里使用的是墨者学院的在线靶场。咱们直接开始。判断注入点通过测试发现,这里过滤了空格和等于号。所以咱们用/**/代替空格,用like代替=,最后将构造的语句进行url编码,使用的是小葵转化工具。所以咱们构造如下语句。/**/and/**/1/**/like/**/1结果如下图...
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
02-16
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
php中url传递中文字符,特殊危险字符解决方法
12-18
我们需要在url中传递中文字符或是其它的html等特殊字符,似乎总会有各种乱,不同的浏览器对他们的编码又不一样, 对于中文,一般的做法是: 把这些文本字符串传给url之前,先进行urlencode($text)一下; 但是对于一些很“危险”的字符,比如说html字符,甚至是SQL注入相关的字符,如果很明显的传给系统,出于安全考虑,系统一般都会把它们过滤掉的。 现在,我们需要这些危险字符,该这么办? 我想到的办法是 先给它们 base64_encode($text) 编码,到服务端时,又给它们 base64_decode($text) 解码, 貌似很完美,但是在使用的过程中又遇到一个问题,bas
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
开发技术 Web开发,防止url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
网络安全课第二节 XSS漏洞检测防御
fegus的博客
07-11 2071
从本讲开始,我将带你进入 Web 漏洞攻防的世界,学习一些常见的 Web 漏洞的原理、利用与防御。在这些常见的Web 漏洞中,XSS(Cross-site Script,跨站脚本)漏洞无疑是最多见的。根据 HackerOne 漏洞奖励平台发布的 The 2020 Hacker Report,XSS 漏洞型占所有报告漏洞中的 23%,排名第一。因此,在“模块二:漏洞攻防案例”,我特意以 XSS 作为讲解的第一个漏洞型。图 1:HackerOne 平台上报告的漏洞型占比最早的 XSS 漏洞可追溯到 199
php获取url地址的方法,PHP获取当前页面完整url地址的方法
weixin_36025345的博客
03-17 2233
php获取当前页面完整真实的url地址的方法,包括带参数的,总结了三种方法,大家可以根据需要选择,具体函数代码如下:第一种方法:function GetCurUrl(){if(isset($_SERVER['REQUEST_URI'])){$url=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$url=$_SERVER['PH...
关于nginx配置项防止xss攻击的记录
蓝色的天空的博客
04-03 6039
server { ...... //以下两种方式未生效 add_header Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-XSS-Protection "1; mode=block"; location / { ......
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
项目常见SQL注入漏洞攻击解决办法
u010174217的专栏
06-23 6296
项目接口常见SQL注入漏洞攻击解决办法 1、弱口令漏洞 解决方案:使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。 2、未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置拦截器过滤掉无效用户的连接请求。 3、接口返回的信息中抛出的异常可能暴露程序信息。有经验的入侵者,可以从抛出的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。 解决方案:自定义一个Exception,将异常信息包装起来不要抛到
php防止sql注入xss攻击
06-01
要防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值