SQL注入防御之一——伪静态(PHP)

最新推荐文章于 2024-04-09 18:00:00 发布
最新推荐文章于 2024-04-09 18:00:00 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: PHP 文章标签: php sql注入 伪静态 WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tim_phper/article/details/52277564
版权

伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。

概述

 众所周知,web安全防御一直都是web开发的一个重要的环节,而web安全攻击常用的方法一般有跨站脚本攻击(XSS)跨站请求伪造(CSRF),SQL注入,文件上传代码执行等等,而当中最基本的可谓是SQL注入了,如果说前两者功能比较鸡肋的话,那么SQL注入会让你真正了解到web安全防御的重要性,因为SQL注入不单只暴露网站的信息和用户的信息,被入侵者恶意删除数据库信息,甚至成为入侵者的控制你服务器的一个入口,想想都觉得有特别可怕,对吧?

 最近自己实习工作结束了,正好有时间研究一些关于WEB安全防御的资料,而接下来的一周,我将会写一个关于WEB安全防御的系列博客。今天第一篇是关于防御SQL注入的一种技术——伪静态

 或许有些人认为,伪静态一直以来都不是为了SEO而利用的技术吗?怎么跟SQL注入联系在一起了?解答这个问题之前,我们先一起来观察一下伪静态非伪静态的区别吧。

伪静态是一种URL重写的技术,从而达到隐藏传递的参数以及从而达到防止SQL注入的目的。

准备

 在贴上伪静态的函数方法之前,以防PHP基础不好的同学们看懵,先让我们来认识一下函数方法当中的一些PHP函数。

  • str_replace(find,replace,string,count)
    str_replace()函数以其他字符替换字符串中的一些字符(区分大小写)。

  • preg_replace( patte

最低0.47元/天 解锁文章
Tim_PHPer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验吧-PHP大法-eregi()函数
07-31 763
题目地址:http://www.shiyanbar.com/ctf/54 题目: <?php if(eregi("hackerDJ",$_GET[id])) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[i...
伪静态注入
Sud0day的博客
03-13 1617
伪静态网站注入方法,通常情况下,动态脚本的网站的url类似下面这样: http://www.91ri.org/news.php?id=111 做了伪静态之后就成这样了: http://www.91ri.org/news.php/id/111.html 以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了。 常规的伪静态页面如下: http://www.XXX.com/...
XSS、CSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
最新发布
ewii12567的博客
04-09 1367
特别是对于当前现有的系统,不需要改变当前系统的任何已有代码和逻辑,没有风险,非常便捷。XSS插入的话,一般是动态页面,但是有些是静态页面,不会和数据库发生交互,这就大大提高了安全性,我们就很难XSS了,而考虑到这一点,很多开发也把动态页面假装弄成静态页面,这种页面称为:伪静态页面;
bugku---urldecode二次编码绕过
LuckySec
12-13 972
题目 首先了解下eregi()函数 eregi()函数 语法 int eregi(string pattern, string string, [array regs]); 定义 eregi()函数在一个字符串搜索指定的模式的字符串。搜索不区分大小写。 返回值 如果匹配成功返回true,否则,则返回false 由题目容易知道该代码是对GET的id值二次编码 第一次是浏览器默认对传入参数进行一次...
bugku web题总结
h0ryit的博客
06-12 1645
陆陆续续将bugku的web题刷了一大半,剩下的都是分比较高的难点的题,做题过程中遇到了很多的问题,大部分题就没离开过write up,不过还是学到了很多,因此想做一个总结。 线索收集 拿到一个ctf题的第一步就是收集信息,特别是一些隐藏的提示信息,否则会寸步难行。 常见的信息点 网页文档的DOM信息 网页注释 有些题会在网页注释中给出提示信息,比如给出一部分源码之类的...
phpphp伪静态的四种方法总结
PHP在线开发笔记
11-26 2120
PHP伪静态的使用主要是为了隐藏传递的参数名。今天我们向大家介绍的PHP伪静态的方法总共有四种,希望大家能够通过这四种方法进一步加深对PHP伪静态的了解。 PHP获取QQ邮箱好友的具体代码讲解PHP5面向对象的一些问题反映PHP 5.3闭包语法的具体讲解PHP 5.0构造函数的实例讲解PHP获取远程URL的实例讲解 以下就是全部方法代码:
「信息安全」自动化代码审计de一些思路与局限——基于静态分析的PHP代码审计技术探 - 安全防御.zip
11-28
1. 语法解析:通过解析PHP代码的语法结构,识别出可能存在的安全漏洞,如SQL注入、跨站脚本(XSS)、命令注入等。 2. 数据流分析:跟踪变量的生命周期和值的变化,找出可能导致敏感数据泄露或控制流篡改的代码片段。...
PHP实例开发源码——巨日集团php留言本.zip
11-30
4. **数据验证**:为了确保数据的安全性,PHP脚本会验证用户提交的信息,比如检查邮箱格式是否正确,防止SQL注入等。 5. **会话管理**:可能使用session或cookie来识别用户,避免同一用户重复提交留言。 6. **模板...
PHP实例开发源码——邮箱LOGO在线制作php版.zip
11-30
6. **安全性**:为了保护系统免受攻击,源码中应包含了输入验证、SQL注入防御和XSS防护。例如,使用`htmlspecialchars()`处理用户输入,防止跨站脚本攻击;使用预编译语句或参数绑定防止SQL注入。 7. **用户认证和...
PHP实例开发源码——飞天论坛FTBBS PHP 繁体中文版 BIG5.zip
12-02
10. **安全性**:包括SQL注入防护、XSS跨站脚本攻击防御、CSRF跨站请求伪造防范等,这些都是在开发过程中必须关注的安全问题。 通过分析飞天论坛FTBBS的源码,不仅可以提升PHP编程技能,还能了解论坛系统的运作机制...
PHP实例开发源码——Gart PHP网站内容管理系统utf8 简体中文版.zip
11-29
8. **安全措施**:考虑到网站安全,系统可能实现了输入验证、SQL注入防护、XSS(跨站脚本)防御、CSRF(跨站请求伪造)防护等策略。 9. **性能优化**:缓存机制(如opcode缓存、数据缓存)、页面静态化、CDN(内容...
PHP针对伪静态的注入总结【附asp与Python相关代码】
12-18
本文实例讲述了PHP针对伪静态的注入。分享给大家供大家参考,具体如下: 一:中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤: 中转注入的php代码:inject.php <?php set_time_limit(0); $id=$_GET["id"]; $id=str_replace(” “,” ″,$id); $id=str_replace(“=”,”=”,$id); //$url = "http://www.xxx.com/new
伪静态注入中转
10-06
伪静态注入中转PHP版本 土司出品 方便大家测试使用
伪静态注入中转突破伪静态
07-24
伪静态注入中转突破伪静态,可以学习一下啊,比较全面了
深入了解SQL注入绕过waf和过滤机制
05-04
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 0x05 本文小结 0x06 参考资料
php伪静态实现方法
05-13
php伪静态实现方法,php伪静态,伪静态,php,MYSQL,MYSQL增删改查
【漏洞挖掘】——25、XXE靶机实践测试
Fly_鹏程万里
03-08 8497
Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞,我们希望你喜欢这个挑战!
伪静态注入方法讲解
weixin_30449239的博客
02-10 254
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。目前来看,防止注入的最有效的方法就是使用LINQ。常规的伪静态页面如下:http://www.XXX.com/play/Diablo.html, 在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多。 例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似htt...
怎样实现php伪静态,php实现伪静态的二种方法介绍
weixin_31061573的博客
03-11 1355
一、根据$_SERVER['PATH_INFO']来操作实现。示例:http://127.0.0.1/show_new.php/look-id-1.shtmlecho $_SERVER['PATH_INFO'] 的输出为:/look-id-1.shtml。1、index.php复制代码 代码示例:/*** php伪静态* www.jbxue.com*/$conn=mysql_connect("lo...
伪静态sql注入sqlmap
09-20
在注入防御方面,PDO(PHP Data Object)预处理是一种常用的技术。PDO是PHP的一个拓展模块,它通过预处理语句直接将不符合规范的变量处理掉,从而有效地防止了SQL注入攻击。 至于使用sqlmap进行伪静态SQL注入测试,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值