PHP代码编写黑名单过滤和白名单限制

已于 2023-11-26 15:02:40 修改
阅读量204 收藏
点赞数
分类专栏: pikachu靶场 文章标签: php 开发语言
于 2023-11-25 18:33:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79328240/article/details/134612165
版权

黑名单概念

        在PHP代码中黑名单是指通过把可疑的、不安全的数据(如SQL注入攻击等)排除在外的一种防御措施。它的主要作用就是阻止一些特定的内容或者行为进入你的程序中,从而防止恶意的用户利用它们破坏系统的安全性。

例如,在PHP中,你可以使用正则表达式来检查用户的输入,如果发现它们包含了一些特定的字符或者字符串,那么就可以将它们加入到黑名单中,从而避免这些恶意的内容进入你的程序中。

白名单概念

        PHP代码中的白名单是一种机制,它允许用户输入符合特定条件的内容,而不是禁止所有内容。它的作用在于,只有符合特定条件的内容才能被添加到数据库中,而其他不符合条件的内容则会被忽略。这样就可以有效地防止黑客利用漏洞攻击你的网站。

黑名单编写

以pikachu 靶场ssrf为例

SSRF(Server-Side Request Forgery:服务器端请求伪造)

        其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,从而导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。

利用url访问百度,可以成功

编写黑名单后

   $URL = $_GET['url'];

    
    $substitutions = array( 'file', 'ftp', 'zlib', 'data', 'glob', 'phar','ssh2','rar','ogg',
);
$parsedUrl = parse_url($URL);
if (isset($parsedUrl['scheme']) && in_array($parsedUrl['scheme'], $substitutions)) {
    return false; // 伪协议在黑名单中,拒绝访问
}
// URL 安全,允许访问
return true;

        scheme是用来标识一种协议,如http、ftp等

代码函数解析:

  • parse_url :解析 URL,返回其组成部分

parse_url(string $url, int $component = -1): int|string|array|null|false

本函数解析 URL 并返回关联数组,包含在 URL 中出现的各种组成部分。数组的元素值不会 URL 解码。

本函数不是用来验证给定 URL 的有效性的,只是将其分解为下面列出的部分。也会接受不完整或无效的 URL,parse_url() 会尝试尽量正确解析。

  • in_array :检查数组中是否存在某个值

in_array(mixed $needle, array $haystack, bool $strict = false): bool

in_array(待搜索的值,待搜索的数组)

如果第三个参数 strict 的值为 true 则 in_array() 函数还会检查 needle 的类型是否和 haystack 中的相同

  • isset :检测变量是否已声明并且其值不为 null

isset(mixed $varmixed ...$vars): bool

利用http协议访问info1.php无法访问了

白名单编写

以pikachu靶场SSRF(file_get_content)为例 

添加白名单前,可以访问info2.php

 也可以访问本地文件hosts文件

?file=../../../../../../../../windows/system32/drivers/etc/hosts

添加白名单

 echo $filename."<br >";
 $octet = explode(".",$filename);
 echo $octet[1]."<br \>";
 if($octet[1]!="php"){
     die("黑客!!!");
 }

代码函数解析:

  • die :相当于 exit()  表示退出,结束程序执行
  • explode :使用一个字符串分割另一个字符串

explode(string $separator, string $string, int $limit = PHP_INT_MAX): array

此函数返回由字符串组成的数组,每个元素都是 string 的一个子串,它们被字符串 separator 作为边界点分割出来。

写入白名单后

迷途小码匠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP 数组黑名单/白名单实例代码详解
10-16
主要介绍了PHP 数组黑名单/白名单,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
PHP解决方案@黑名单过滤
weixin_34179762的博客
07-21 380
为什么80%的码农都做不了架构师?>>> ...
php文件白名单_php实现ip白名单黑名单功能
weixin_27034523的博客
03-08 226
这个是一个检测ip是否非法的php函数,适应于白名单黑名单功能开发,主要场景应用于:api来源限制,访问限制等.复制代码 代码如下:/*** 安全IP检测,支持IP段检测* @param string $ip 要检测的IP* @param string|array $ips 白名单IP或者黑名单IP* @return boolean true 在白名单或者黑名单中,否则不在*/fun...
php 白名单,php白名单
weixin_42515295的博客
03-10 179
使用方法$allow_ip = array("192.168.1.1","210.10.2.1-20","222.34.4.*","127.0.0.1");$oBlock_ip = new allowIp($allow_ip);if( !$oBlock_ip->checkIP() ){exit('您的IP为:'.$oBlock_ip->ip.'禁止访问');}allowIp类class...
php 白名单,php实现ip白名单黑名单功能
weixin_34117129的博客
03-10 749
本文给大家分享了2个php用于实现黑白名单的实用函数,分别是安全IP检测函数和获取客户端IP函数,注释里解释的非常清楚,这里我就不多废话了。这个是一个检测ip是否非法的php函数,适应于白名单黑名单功能开发,主要场景应用于:api来源限制,访问限制等.代码如下:/*** 安全IP检测,支持IP段检测* @param string $ip 要检测的IP* @param string|array $...
php白名单,php – 在用户输入上使用白名单
weixin_29428137的博客
03-18 110
我有一个简单的表单,使用用户名和密码登录.我想应用白名单只允许某些字符.我不知道是否有人要求这个,但这里是检索用户名和密码的代码:$stmt = $conn2->prepare("SELECT username FROM users WHERE username = ? AND password = ?");$stmt->bind_param("ss", $username, $pas...
php实现ip白名单黑名单功能
01-21
这个是一个检测ip是否非法的php函数,适应于白名单黑名单功能开发,主要场景应用于:api来源限制,访问限制等. 复制代码 代码如下: /**  * 安全IP检测,支持IP段检测  * @param string $ip 要检测的IP  * @...
PHP过滤黑名单关键字的方法
10-25
主要介绍了PHP过滤黑名单关键字的方法,通过保存过滤关键字到txt文件,再读取txt文件内容进行正则匹配替换来实现过滤功能,需要的朋友可以参考下
php白名单来源,php实现ip白名单黑名单功能
weixin_28917337的博客
03-12 249
推荐:php操作(删除,提取,增加)zip文件方法详解本文给大家分享的是php操作zip文件的方法示例,包括了从zip压缩文件中提取文件、从一个zip压缩文件中删除文件、添加一个文件到zip压缩文件中,推荐给大家,有需要的小伙伴参考下。 php读取zip文件(删除文件,提取文件,增加文件)实例 从zip压缩文件中提取文件 代码如下:本文给大家分享了2个php用于实现黑白名单的实用函数,分别是安全I...
Pro PHP Programing之安全白名单黑名单
veaglefly的博客
03-30 939
白名单黑名单 对于include或者require函数的调用,不应该使用$_GET或$_POST值,因为尚不知晓文件名称。攻击者试图通过为文件名添加…/…/之类的前缀绕过文档根目录的权限控制。对于include或require调用中的变量,应该使用可接受文件名的白名单或净化文件名。 注意:白名单是包含获准项的列表,黑名单则是包含禁止项的列表。白名单黑名单更加严格,因为它们具体指定了获准项,
设置站点黑名单过滤器(BannedAccessFilter)
技术宅
05-11 1022
功能描述         不允许从禁用的站点(IP)访问当前应用,也不允许从禁用的站点链接到当前应用。        为了简单起见,设置禁用站点时,暂不支持使用通配符。只是抛砖引玉了。        比如:禁止其他的网站引用本站的图片资源,只需在此基础上稍作修改即可。 使用方法         在 java web 项目的 web.xml 文件中添加如下代码。 &lt...
php看域控验证,php判断referer来源域进行白名单黑名单访问控制
weixin_42220669的博客
03-11 584
最近大家有了sinaapp的php空间,这个东西可能可以用得到,写个基本例子大家参考(大家可以二次开发)基本功能就是最简单的referer防盗链:1,白名单就是只允许某些来源域2,黑名单就是不允许某些来源域//开发调试模式:显示错误报告,但不显示通知//error_reporting(E_ERROR | E_WARNING | E_PARSE);//上线模式:不显示任何错误报告error_repo...
NSSCTF | [第五空间 2021]WebFTP
2302_80946742的博客
05-13 204
注意看这里的题目标签,目录扫描,.git泄露。那么这道题虽然打开是一个登录的界面,但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件,最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描,我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件,但我试了试,没能成功下载。
为什么Redis6.0引入了多线程
IT深耕十余载,大道之简
05-11 528
总的来说,Redis 6.0引入多线程是为了提高性能、降低延迟、更好地利用CPU资源,并保持Redis的简单性和高性能特点。这些改进有助于Redis更好地应对不断增长的数据量和并发量需求,同时保持其稳定性和可靠性。Redis 6.0引入多线程的决策是基于其性能优化和适应现代硬件架构的考虑。
thinkphp8 framework和 element plus admin前后端分离系统之PHP安装教程
luck332的专栏
05-12 381
DIYGW-UI-PHP是一款基于thinkphp8 framework和 element plus admin开发而成的前后端分离系统。目的是结合现有diygw-ui打造一个后台API开发。实现PHP源码前请先下载小皮面板或者宝塔。系统已经集成了部分功能。
picoCTF-Web Exploitation-Web Gauntlet
huckers的博客
05-12 462
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
FebHost:为什么企业需要注册保加利亚.BG域名?
最新发布
05-16 324
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
等保测评实体分享three
ddcajdkdl的博客
05-16 863
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
Laravel中使用MinIO进行文件操作及ZIP解压
我码玄黄的博客
05-14 341
在本指南中,我们将详细介绍如何在laravel框架中操作minio,包含方法有:桶列表,创建桶,修改桶,上传文件,删除文件,生成直传链接,解压zip的php脚本
怎么使用黑名单的方式实现上传文件类型过滤
06-05
使用黑名单的方式实现上传文件类型过滤,可以在服务器端对上传的文件类型进行判断,如果上传的文件类型不在指定的黑名单中,则允许上传,否则拒绝上传。 下面是一个例子,使用 PHP 语言实现上传文件类型过滤黑名单方式: ```php <?php $allowed_types = array('jpg', 'jpeg', 'png', 'gif'); // 允许上传的文件类型 $blacklist = array('php', 'php3', 'php4', 'php5', 'exe', 'sh', 'bat'); // 黑名单,禁止上传的文件类型 $file_name = $_FILES['file']['name']; // 获取上传的文件名 $file_ext = strtolower(pathinfo($file_name, PATHINFO_EXTENSION)); // 获取文件扩展名并转换为小写 if (in_array($file_ext, $blacklist)) { echo "Error: 文件类型不允许上传!"; } elseif (!in_array($file_ext, $allowed_types)) { echo "Error: 文件类型不支持!"; } else { // 文件上传代码 } ?> ``` 在上面的代码中,`$allowed_types` 变量定义了允许上传的文件类型,`$blacklist` 变量定义了禁止上传的文件类型。在对上传的文件进行判断时,先判断文件类型是否在黑名单中,如果在,则拒绝上传;否则再判断文件类型是否在允许上传的类型列表中,如果不在,则同样拒绝上传;否则允许上传文件。 这种方法的优点是可以灵活地控制上传的文件类型,但其缺点是需要不断更新黑名单,否则可能会漏掉某些新出现的恶意文件类型。因此,建议使用白名单的方式实现上传文件类型过滤,只允许上传指定的安全文件类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值