php过滤注入变量

最新推荐文章于 2023-05-16 13:50:24 发布
最新推荐文章于 2023-05-16 13:50:24 发布
阅读量2.2k 收藏
点赞数
分类专栏: 后端技术 文章标签: php session arrays input server ini
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flynetcn/article/details/1863471
版权
<? php
 // 如果环境是php5并且屏蔽了长格式的预定义变量,就进行模仿长格式预定义变量。
if  (@ phpversion ()  >=   ' 5.0.0 '   &&  ( ! @ ini_get ( ' register_long_arrays ' ||  @ ini_get ( ' register_long_arrays ' ==   ' 0 '   ||   strtolower (@ ini_get ( ' register_long_arrays ' ))  ==   ' off ' ))
{
     $HTTP_POST_VARS   =   $_POST ;
     $HTTP_GET_VARS   =   $_GET ;
     $HTTP_SERVER_VARS   =   $_SERVER ;
     $HTTP_COOKIE_VARS   =   $_COOKIE ;
     $HTTP_ENV_VARS   =   $_ENV ;
     $HTTP_POST_FILES   =   $_FILES ;

     //  判断$_SESSION是否已经注册生效
     if  ( isset ( $_SESSION ))
    {
         $HTTP_SESSION_VARS   =   $_SESSION ;
    }
}

 //  防范注入GLOBALS变量
if  ( isset ( $HTTP_POST_VARS [ ' GLOBALS ' ])  ||   isset ( $HTTP_POST_FILES [ ' GLOBALS ' ])  ||   isset ( $HTTP_GET_VARS [ ' GLOBALS ' ])  ||   isset ( $HTTP_COOKIE_VARS [ ' GLOBALS ' ]))
{
     die ( " Hacking attempt " );
}

 //  防范$HTTP_SESSION_VARS伪装
if  ( isset ( $HTTP_SESSION_VARS &&   ! is_array ( $HTTP_SESSION_VARS ))
{
     die ( " Hacking attempt " );
}

 // 以下代码在环境register_globals = on时模拟off
if  (@ ini_get ( ' register_globals ' ==   ' 1 '   ||   strtolower (@ ini_get ( ' register_globals ' ))  ==   ' on ' )
{
     // 不应该被unset的,并且预定义变量数组中也不包含的变量名,如果外来数据中存在就是访问者注入的!
     $not_unset   =   array ( ' HTTP_GET_VARS ' ,   ' HTTP_POST_VARS ' ,   ' HTTP_COOKIE_VARS ' ,   ' HTTP_SERVER_VARS ' ,   ' HTTP_SESSION_VARS ' ,   ' HTTP_ENV_VARS ' ,   ' HTTP_POST_FILES ' );

     //  如果HTTP_SESSION_VARS变量未被初始化或不是数组,array_merge函数将失败,所以需要核实HTTP_SESSION_VARS
     if  ( ! isset ( $HTTP_SESSION_VARS ||   ! is_array ( $HTTP_SESSION_VARS ))
    {
         $HTTP_SESSION_VARS   =   array ();
    }

     //  合并为一个大数组,数组中包含各种外来变量
     $input   =   array_merge ( $HTTP_GET_VARS ,   $HTTP_POST_VARS ,   $HTTP_COOKIE_VARS ,   $HTTP_SERVER_VARS ,   $HTTP_SESSION_VARS ,   $HTTP_ENV_VARS ,   $HTTP_POST_FILES );
    
     // 防止伪装数组
     unset ( $input [ ' input ' ]);
     unset ( $input [ ' not_unset ' ]);
    
     // 所有的名字未列入$not_unset数组的外来变量将被unset,列入的停止执行页面
     while  ( list ( $var , =  @ each ( $input ))
    {
         // 如果访问者注入了与预定义变量同名的变量
         if  ( in_array ( $var ,   $not_unset ))
        {
             die ( ' Hacking attempt! ' );
        }
         // echo $var.'<br>';
         unset ($ $var );
    }

     unset ( $input );
}
 ?>
 
码出钞能力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
比较好用的PHP注入漏洞过滤函数代码
10-28
PHP整站防注入程序,需要在公共文件中require_once本文件,因为现在网站被注入攻击现象很严重,所以推荐大家使用
PHP注入安全代码
10-30
PHP编程中,防止SQL注入是一项至关重要的任务,因为注入攻击可能导致数据泄露、系统瘫痪甚至整个网站的安全性被破坏。SQL注入是攻击者通过输入恶意的SQL代码,利用应用程序处理用户输入数据时的漏洞来操纵数据库。...
php 过滤变量,php中的变量过滤器、常量
weixin_42116681的博客
03-10 210
变量1. 作用域变量作用域,也叫”变量范围”, 即定义变量时的上下文环境变量作用域,通俗的说,就是变量的生效范围一个变量必定属于一个作用域, 这个作用域也包括了当前作用域中引入其它文件也有不受作用域限制的变量,例如超全局变量, 在程序中任何地方都是有定义的函数作用域: php 中只有函数可以创建作用域, 函数之外的代码全部在全局空间中序号作用域描述1函数作用域使用function关键字创建的作用域...
php 过滤变量,获取多个变量并且过滤它们 - PHP 7 中文文档
weixin_42561910的博客
03-10 205
(PHP 5 >= 5.2.0, PHP 7)filter_var_array – 获取多个变量并且过滤它们说明filter_var_array( array $data[, [mixed](php7/language.pseudo-types) $definition[, bool $add_empty = true]] ) : [mixed](php7/language.pseudo-t...
变量过滤处理(PHP
RookieDream
05-09 740
最近自己写了
php 过滤绕过注入,PHPB2B注入#1(绕过过滤)
weixin_34556808的博客
03-29 149
### 简要描述:PHPB2B某处注入#1。绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip漏洞文件。virtual-office/company.php### 详细说明:POST /phpb2b/virtual-office/company.phpContent-Disposition: form-data; nam...
php参数过滤、数据过滤
05-01
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini中开启magic_...
php xfocus防注入资料
10-30
总之,PHP安全需要多方面的考虑,包括初始化变量、使用预处理语句防止SQL注入、清理用户输入和限制数据库权限。这些措施可以显著降低被攻击的风险,保护你的应用程序和服务器不受侵害。定期更新代码、遵循最佳实践并...
js获取php变量的实现代码
10-27
确保对PHP变量进行适当的转义或过滤,以防止注入恶意脚本。 3. **异步通信**:如果需要在页面加载后动态获取PHP变量的值,可以使用AJAX(Asynchronous JavaScript and XML)技术。通过XMLHttpRequest或现代浏览器的...
php登录页面实现-SQL注入
03-07
当用户输入的数据未经验证或过滤直接拼接到SQL查询中时,攻击者可以通过构造特定的输入来改变查询的含义,获取敏感数据或执行非法操作。 3. 如何防止SQL注入: - 使用参数化查询:无论是`mysqli_prepare()`结合`...
php变量如何过滤,php变量过滤器函数了解
weixin_39988779的博客
03-22 196
什么是php变量过滤器呢?php过滤器用于验证和过滤来自非安全来源的数据,使用过滤器可以保证应用程序获得正确的输入类型。php过滤器函数filter_var():通过指定的过滤器来过滤单一的变量filter_var_array():通过相同或不同的过滤器来过滤多个变量filter_input:获取一个输入变量,并对其进行过滤filter_input_array:获取多个输入变量,并通过相同或者不...
PHP 过滤注入语句
weixin_42136237的博客
05-16 134
PHP 过滤注入语句
什么是 PHP 过滤器?为什么使用过滤器?
qq_39703644的博客
08-08 532
PHP 过滤PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。 什么是 PHP 过滤器? PHP 过滤器用于验证和过滤来自非安全来源的数据。 测试、验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 PHP过滤器扩展的设计目的是使数据过滤更轻松快捷。 为什么使用过滤器? 几乎所有的 Web 应用程
php 过滤变量,php过滤注入变量的实例代码
weixin_39883065的博客
03-10 80
/*** 过滤注入变量的代码* edit:www.jbxue.com*///php5且屏蔽了长格式的预定义变量,则模仿长格式预定义变量。if (@phpversion() >= '5.0.0' && (!@ini_get('register_long_arrays') || @ini_get('register_long_arrays') == '0' || strtolow...
post防注入过滤 php,PHP之POST参数过滤,防止SQL注入
weixin_30139213的博客
03-12 856
php整站防sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
注入过滤php,php 防sql注入过滤代码
weixin_30679547的博客
03-09 511
function phps教程ql_show($str){$str = stripslashes($str);$str = str_replace("\", "", $str);$str = str_replace("/", "/", $str);$str = str_replace(" ", " ", $str);$str = str_replace(",", ",", $str);return...
php通用过滤,php注入和XSS攻击通用过滤
weixin_30384285的博客
03-10 220
public function SafeFilter($arr){$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/...
注入过滤php,php过滤客户提交参数,防注入
weixin_33220360的博客
03-09 152
Warning: strncmp() has been disabled for security reasons in /www/web/default/blog/public_html/wp-includes/formatting.php on line 117Warning: strncmp() has been disabled for security reasons in /www...
CTF PHP代码注入
最新发布
07-15
这种攻击利用了应用程序对用户输入的不充分验证和过滤,使得攻击者能够将恶意的PHP代码注入到应用程序中,从而执行任意代码或实施其他攻击。 以下是一些常见的PHP代码注入漏洞场景和防范措施: 1. 用户输入的直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值