Php注入的安全防范方法

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量401 收藏
点赞数
分类专栏: 安全防护 文章标签: php search 服务器 mysql linux merge
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_7z1/article/details/6741949
版权

Php注入的安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法: 
首先是对服务器的安全设置,前面的windows服务器的安全设置我们已经讲了,不再重复,这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval()函数将其转换成整数类型,如代码: 
$id=intval($id); 
mysql_query=”select *from example where articieid=’$id’”;或者这样写:mysql_query("SELECT * FROM article WHERE articleid=".intval($id)."") 


如果是字符型就用addslashes()过滤一下,然后再过滤”%”和”_”如: 
$search=addslashes($search); 
$search=str_replace(“_”,”\_”,$search); 
$search=str_replace(“%”,”\%”,$search); 
当然也可以加php通用防注入代码: 
/************************* 
PHP通用防注入安全代码 
说明: 
判断传递的变量中是否含有非法字符 
如$_POST、$_GET 
功能: 
防注入 
**************************/ 
//要过滤的非法字符 
$ArrFiltrate=array("'",";","union"); 
//出错后要跳转的url,不填则默认前一页 
$StrGoUrl=""; 
//是否存在数组中的值 
function FunStringExist($StrFiltrate,$ArrFiltrate){ 
foreach ($ArrFiltrate as $key=>$value){ 
if (eregi($value,$StrFiltrate)){ 
return true; 


return false; 

//合并$_POST 和 $_GET 
if(function_exists(array_merge)){ 
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); 
}else{ 
foreach($HTTP_POST_VARS as $key=>$value){ 
$ArrPostAndGet[]=$value; 

foreach($HTTP_GET_VARS as $key=>$value){ 
$ArrPostAndGet[]=$value; 


//验证开始 
foreach($ArrPostAndGet as $key=>$value){ 
if (FunStringExist($value,$ArrFiltrate)){ 
echo "alert(/"Neeao提示,非法字符/");"; 
if (empty($StrGoUrl)){ 
echo "history.go(-1);"; 
}else{ 
echo "window.location=/"".$StrGoUrl."/";"; 

exit; 


?> 
/************************* 
保存为checkpostandget.php 
然后在每个php文件前加include(“checkpostandget.php“);即可 
**************************/ 


另外将管理员用户名和密码都采取md5加密,这样就能有效地防止了php的注入。 

还有服务器和mysql也要加强一些安全防范。 

对于linux服务器的安全设置: 

加密口令,使用“/usr/sbin/authconfig”工具打开密码的shadow功能,对password进行加密。 

禁止访问重要文件,进入linux命令界面,在提示符下输入: 

#chmod 600 /etc/inetd.conf    //改变文件属性为600 

#chattr +I  /etc/inetd.conf     //保证文件属主为root 

#chattr –I  /etc/inetd.conf     // 对该文件的改变做限制   

禁止任何用户通过su命令改变为root用户 

在su配置文件即/etc/pam.d/目录下的开头添加下面两行: 

Auth  sufficient  /lib/security/pam_rootok.so debug 

Auth  required  /lib/security/pam_whell.so group=wheel 

删除所有的特殊帐户 

#userdel  lp等等    删除用户 

#groupdel lp等等    删除组 

禁止不使用的suid/sgid程序 

#find / -type f \(-perm -04000  - o –perm -02000 \) \-execls –lg {} \; 

 
 

7禧
关注
专栏目录
浅谈PHP安全护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
PHP防范SQL注入的具体方法详解(测试通过)
10-25
PHP防范SQL注入是确保Web应用程序安全的关键措施之一,因为SQL注入攻击可能导致数据泄露、数据库破坏甚至是整个系统的瘫痪。以下是一些详细的防范方法: 1. **开启或使用`magic_quotes_gpc`或`addslashes()`函数**...
php安全防范
fangyuan303687320的专栏
12-05 594
Php注入安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法:首先是对服务器安全设置,前面的windows服务器安全设置我们已经讲了,不再重复,这里主要是php+mysql安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id
PHP安全防范
の原為じ簡單
09-19 184
转 http://www.jefflei.com/post/1252.html PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心. php...
PHP 安全护手段
Owen的博客
08-10 366
一 代码层 1.黑名单 : 不允许 mysql 关键字:select insert update delete等..... 2.白名单 : 允许通过的字符 3.敏感字符过滤 单引号 双引号等... 3.1 HTML Purifier 作用:止XSS攻击。 http://htmlpurifier.org/ 4.使用框架安全操作: CI的AR(Active Record)的数据库CURD方式 esca...
PHP简单预sql注入方法
12-18
SQL注入是一种常见的网络安全威胁,它允许...总之,防范SQL注入的关键在于正确处理用户输入,并采用安全的编程实践。结合多种御策略,可以显著提高应用的安全性。记得定期进行安全审计和测试,确保护措施的有效性。
php止SQL注入详解及防范
10-26
与此同时,安全漏洞特别是SQL注入漏洞,一直是PHP开发过程中需要重点防范的问题。 SQL注入漏洞发生在应用程序未能正确处理用户输入的情况下,导致恶意用户能够通过输入特定的SQL命令,影响或控制数据库服务器。当...
MySQL 及 SQL 注入防范方法
09-10
因此,了解SQL注入的原理、方法对于开发安全的应用程序至关重要。 为了防范SQL注入,开发者必须遵循一系列安全实践,下面将详细介绍这些实践: 1. 不信任用户输入:这一点至关重要,因为用户输入是SQL注入的...
php安全护的思考
t225com
01-20 233
网络安全的残酷现实,我就不多说了。写出合格的代码的人才是合格的程序员。合格的代码无非三点:安全,效率,维护性。 安全当然要排第一位,一个错误百出的程序,再快在帅都是没有用的。效率可以优化,维护性可以通过不断的重构来解决。 这里我就只关注安全性了。 PHP也学了2个多月了。做了一个信息管理系统,作为我的第一个学习研究项目。PHP服务器端做webservice,客户端HTML+JS通过PO...
php安全文件
11-15
用于web安全研究,可过安全狗。
php需要做的安全
空白_回忆的博客
07-13 884
php需要做的安全护 XSS安全护 表单自动验证 强制数据类型转换 输入数据过滤 表单令牌验证 SQL注入 图像上传检测
网络安全-php安全知识点
热门推荐
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
PHP安全
OrangeHeng的博客
03-12 343
一个有趣的拉请求已开通针对PHP来作出bin2hex()一定的时间。这导致了一些关于邮件列表的有趣讨论(甚至让我回复:-X)。PHP在远程计时攻击方面的报道非常好,但他们谈论了字符串比较。我想谈谈其他类型的定时攻击。什么是远程定时攻击?好的,让我们假设你有以下代码:function containsTheLetterC($string) { for ($i = 0; $i < str...
PHP基本安全防范,初学者必看
gjpdeyx的专栏
05-11 521
1、一般页面通过GET接收的参数都是INT型(整型)居多,但是要防范一些不规范的输入,接收时用整型函数转换一下            $id=intval($_GET["id"]);2、有上传功能时,一定要检查文件类型。不能任意由访客上载所有文件。(特别要注意一些HTML编辑器的漏洞)3、网站正式推出后,前面加上一句:error_reporting(0);   不要将错
PHP 安全问题入门:10 个常见安全问题 + 实例讲解_php 安全性和错误处理
mm627mm的博客
04-18 840
需要澄清的一点是:密码哈希并不是密码加密。MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商。如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。
PHP 安全PHP 安全
最新发布
新华编程特战队
04-23 931
PHP 是一种广泛使用的服务器端脚本语言,在许多网站和应用程序中起着举足轻重的作用。然而,它的广泛采用也使其面临网络安全风险。PHP 安全性知识对于开发人员保护其 Web 应用程序的完整性至关重要。本文探讨了普遍存在的安全威胁,提供了对预措施和最佳实践的见解,以加强 PHP 应用程序,促进弹性和安全的在线环境。
【Web安全PHP安全
RexHa的博客
03-03 2948
严格来说,文件包含就是代码注入的一种。代码注入,其原理就是注入一段用户能控制的脚本或代码并让服务器端执行。代码注入的典型代表就是文件包含。文件包含可能会出现在JSP、PHP、ASP等语言中,常见函数如下: PHP:include()、include_once()、require()、require_once()、fopen()、readfile()…… JSP/Servlet:ava.io.File()、java.io.FileReader()……
PHP注入护策略与安全设置
以下是一些防范PHP注入方法: 1. **启用Magic Quotes GPC**:`magic_quotes_gpc`是PHP的一个配置选项,它可以自动对用户输入的数据进行转义,从而止SQL注入。不过,这个选项在PHP 5.4之后已被废弃,因为它的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值