PHP 防注入攻击拦截

最新推荐文章于 2024-04-25 19:15:50 发布
最新推荐文章于 2024-04-25 19:15:50 发布
阅读量228 收藏 1
点赞数
分类专栏: PHP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiing9819/article/details/111941689
版权
本文介绍了一段360源码提供的PHP代码,用于防御SQL注入攻击。该代码通过设置错误处理器、定义过滤规则并检查GET、POST、COOKIE及HTTP_REFERER变量,阻止潜在的恶意输入。当检测到不合法参数时,会显示错误信息并终止执行。了解此代码有助于提升网站的安全性。
摘要由CSDN通过智能技术生成

PHP 防注入攻击拦截文件来自360

360源码PHP

<?php
//Code By Safe3 
//Add HTTP_REFERER by D.
$referer=empty($_SERVER['HTTP_REFERER']) ? array() : array($_SERVER['HTTP_REFERER']);
function customError($errno, $errstr, $errfile, $errline)
{ 
	echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
	die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|\b(alert|confirm|prompt)\b|<[^>]*?>|^\\+\/v(8|9)|\\b(and|or)\\b.+?(>|<|=|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$postfilter="^\\+\/v(8|9)|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|<\\s*img1\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){  

	$StrFiltValue=arr_foreach($StrFiltValue);
	if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   
			//slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
			print "<div style=\"position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;\"><br>您的提交带有不合法参数,谢谢合作!<br><br>了解更多请点击:<a href=\"http://webscan.360.cn\">360网站安全检测</a></div>";
			exit();
	}
	if (preg_match("/".$ArrFiltReq."/is",$StrFiltKey)==1){   
			//slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
			print "<div style=\"position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;\"><br>您的提交带有不合法参数,谢谢合作!<br><br>了解更多请点击:<a href=\"http://webscan.360.cn\">360网站安全检测</a></div>";
			exit();
	}  
}  
//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){ 
	StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){ 
	StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){ 
	StopAttack($key,$value,$cookiefilter);
}
foreach($referer as $key=>$value){ 
	StopAttack($key,$value,$getfilter);
}

function slog($logs)
{
	$toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
	$Ts=fopen($toppath,"a+");
	fputs($Ts,$logs."\r\n");
	fclose($Ts);
}
function arr_foreach($arr) {
	static $str;
	if (!is_array($arr)) {
	return $arr;
	}
	foreach ($arr as $key => $val ) {

	if (is_array($val)) {

		arr_foreach($val);
	} else {

	  $str[] = $val;
	}
	}
	return implode($str);
}
?>

免责声明,本教程所有资源均来源于网络;仅用于学习交流,请勿用于任何商业行为;如需要,请使用正版授权;侵权联删。

king9819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP基础知识7——登录拦截
云中自有锦书
08-11 994
前言 我们使用php动态渲染页面时,有很多比较麻烦的地方。 在前端写好页面以后,需要后台进行修改,意味这后端程序员也需要懂前端的知识,其实渲染的工作应该交给前端来做。 前端没有写好页面的话,后端无法开始工作,需要等待前端的页面完成之后才能开始工作,拖延项目的进度。 这种渲染,属于同步渲染,先获取数据, 如果数据获取的慢了, 会严重影响整个页面渲染速度, 且数据更新需要页...
php通用注入程序 推荐
12-18
本篇文章将详细探讨PHP通用注入程序的原理和实现,以及如何在PHP范这种攻击。 SQL注入通常发生在开发人员未对用户输入进行充分验证或转义时,攻击者可以通过在表单字段中输入特定的SQL语句片段来欺骗服务器...
php注入攻击
jackyrongvip的专栏
09-27 679
可以使用addslashes等PHP内置的直接给出函数,方便使用function VerifyInput($input) {         if (!get_magic_quotes_gpc())       {        //magic_quotes_gpc默认是on的,已经会自动转义号等字符了          $input = addslashes($input);   
PHP注入攻击
Ryan Z 的技术日志
07-25 1131
纯数字的参数intval强制取整 其他参数值进行过滤或者转义 protected function zaddslashes($string, $force = 0, $strip = FALSE) { if (!defined('MAGIC_QUOTES_GPC')) { define('MAGIC_QUOTES_GP
PHP注入攻击
无界编程
03-23 4258
注入攻击不多说了 PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (')双引号 (")反斜杠 (\)NULL语法addslashes(string)参数描述string必需。规定要检查的字符串。提示和注释提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准
php跨站攻击实例分析
10-25
XSS攻击指的是攻击者通过在Web页面中注入恶意的脚本代码,然后当其他用户浏览该页面时,嵌入其中的脚本将被执行,从而达到控制用户浏览器的目的。这种攻击主要分为三种类型:反射型、存储型和DOM型。PHP跨站攻击护...
基于PHP的短域名微信QQ域名拦截系统源码.zip
10-10
5. **安全性措施**:包括但不限于止SQL注入、XSS攻击等,确保系统的稳定运行和用户数据的安全。 6. **可扩展性**:设计良好的架构允许添加新的社交平台支持,或者应对高并发访问。 7. **API接口设计**:可能提供...
asp,aspx,php网站护代码
01-05
6. Web应用火墙(WAF):如360codeWaf,可以提供额外的护层,拦截恶意请求,阻止DDoS攻击,以及对SQL注入、XSS等常见攻击护。 7. 认证与授权:正确实现用户身份验证和权限管理,比如ASP.NET的身份验证模型...
SQL注入攻击.pdf
09-19
SQL注入攻击是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)的数据库系统。攻击者通过在输入字段中插入恶意的SQL代码,试图绕过应用程序的安全控制,获取未经授权的数据访问、修改或删除数据,甚至...
php攻击代码,PHP攻击注入代码
weixin_39603476的博客
03-10 325
[code language=php] /************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能: 注入 *************************/ //要过滤的非法字符 $ArrFiltrate=array("'","or","and","union","where"); //出错后要跳...
PHP拦截
测试小白
01-17 498
“一般来说,总是把类的属性定义为private,这更符合现实的逻辑。 但是,对属性的读取和赋值操作是非常频繁的,因此在PHP5中,预定义了两个函数“__get()”和“__set()”来获取和赋值其属性,以及检查属性的“__isset()”和删除属性的方法“__unset()”。 我们为每个属性做了设置和获取的方法,在PHP5中给我们提供了专门为属性设置值和获取值的方法,“__set()”和“
PHP后端安全性:如何止SQL注入和跨站脚本攻击
最新发布
ElvaRaleign的博客
04-25 1007
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
PHP拦截
mole的专栏
01-04 1165
PHP提供了几个拦截器,用于在访问未定义的方法和属性时被调用,如下。 1、__get($property) 功能:访问未定义的属性是被调用 2、__set($property, $value) 功能:给未定义的属性设置值时被调用 3、__isset($property) 功能:对未定义的属性调用isset()时被调用 4、__unset($property) 功能:对未定义的属性调用unset()
PHP网站SQL注入攻击源代码,高效、健壮!
耐特007博客
04-02 341
PHP语言应用于WEB站开发,这是一个很好的选择,现在大到电商平台、门户站,小到企业、个人站,使用PHP语言开发也不是什么稀奇的事了,然而,由于开发涉及的环节较多,难免在代码结构的严谨性上有疏忽,例如站点由于漏洞而遭到注入攻击的危险也时有发生,这就要求程序们得专门写一个专门注入的高效程式来应对。以下,就为大家分享一套简洁、有效的代码,供大家参考。 我们先给这段代码命名为 safeSql.php...
php 注入 正则,php 注入的一段代码(过滤参数)
weixin_36122351的博客
03-09 372
完整代码如下。/*** 过滤输入参数,注入* site http://www.jbxue.com*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$ke...
PHP中的拦截器(魔术方法)
农夫仔
02-10 2095
__get($property) 访问未定义的属性时被调用 __set($property,$value) 给未定义的属性赋值时被调用 __isset($property) 对未定义的属性调用isset()时被调用 __unset($property) 对未定义的属性调用unset()时被调用 __call($method,$arg_array) 调用未定义的方法时被调用 __get
php错误拦截机制,php拦截异常怎么写-PHP问题
weixin_33376592的博客
03-29 247
php拦截异常可以通过PHP的错误、异常机制及其内建数'set_exception_handler'、'set_error_handler'、'register_shutdown_function' 来写。首先我们定义错误拦截类,该类用于将错误、异常拦截下来,用我们自己定义的处理方式进行处理,该类放在文件名为'errorHandler.class.php'中,代码如下/*** 文件名称:baseE...
php安全拦截,PHPCC拦截代码
weixin_30418225的博客
03-10 334
摘要:前几天,不知从哪冒出来的一波傻逼,总是频繁的刷我的博客,20分钟刷了20000多次,无奈之下数据库被刷爆了...今天分享一下PHP如何CC攻击...前几天,不知从哪冒出来的一波傻逼,总是频繁的刷我的博客,20分钟刷了20000多次,无奈之下数据库被刷爆了...今天分享一下PHP如何CC攻击。empty($_SERVER['HTTP_VIA']) or exit('Access Denie...
SQL注入攻击与Web安全:PHP、MySQL和Apache环境
"SQL注入攻击与Web安全:PHP漏洞利用及MySQL行级安全" 在Web开发领域,SQL注入(SQL Injection)是一种严重的安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。这个话题涉及到MySQL、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值