php 防注入

最新推荐文章于 2024-08-03 20:32:29 发布
最新推荐文章于 2024-08-03 20:32:29 发布
阅读量256 收藏
点赞数
分类专栏: PHP网络编程 文章标签: php merge function include url
<?php
/*************************
说明:
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能:
防注入
**************************/

//要过滤的非法字符
$ArrFiltrate=array("'",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
     if (eregi($value,$StrFiltrate)){
         return true;
     }
   }
return false;
}

//合并$_POST 和 $_GET
if(function_exists(array_merge)){
     $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
     foreach($HTTP_POST_VARS as $key=>$value){
         $ArrPostAndGet[]=$value;
     }
     foreach($HTTP_GET_VARS as $key=>$value){
         $ArrPostAndGet[]=$value;
     }
}

//验证开始
foreach($ArrPostAndGet as $key=>$value){
     if (FunStringExist($value,$ArrFiltrate)){
         echo "<script language=/"javascript/">alert(/"非法字符/");</script>";
         if (empty($StrGoUrl)){
         echo "<script language=/"javascript/">history.go(-1);</script>";
         }else{
         echo "<script language=/"javascript/">window.location=/"".$StrGoUrl."/";</script>";
         }
         exit;
     }
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

konglui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
php注入代码
10-12
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
PHP止 SQL 注入
weixin_50251467的博客
07-21 588
我们可以将预处理语句与 PDO 一起使用,以止在 PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以止在 PHP 中进行 SQL 注入
php 止被get,PHP如何过滤GET或者POST的参数?如何样才能保证代码不被注入
weixin_42500240的博客
03-10 349
------解决方案--------------------直接查查 魔术转换 相关东西吧不用去看wordpress了,学这么个东西还要去看wordpress,搞死人啊------解决方案--------------------if (!get_magic_quotes_gpc())//如果没有开启的话{/****需要对这几个数组,遍历,注意数组多维的情况,addslashes($str)就可以$...
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2443
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php注入类,简单实用的PHP注入类实例_PHP
weixin_39548776的博客
03-11 67
本文实例讲述了简单实用的PHP注入类。分享给大家供大家参考。具体如下:PHP注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.PHP注入类代码如下:代码如下:/*** 参数处理类* @author JasonWei*/class Params{public $get = arra...
简单的php注入类库
05-02
为确保应用安全,开发人员需要采取有效的御措施,这就是“简单的php注入类库”所关注的核心问题。 首先,我们需要理解SQL注入的工作原理。当用户数据未经验证或清理就直接与SQL查询拼接时,攻击者可能通过输入...
PHP注入文件
10-13
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
通俗易懂的php注入代码
10-29
以下将详细解释标题和描述中提到的两种PHP注入代码方法。 **方法一:基于关键词过滤** 这种方法的核心在于定义一个包含可能的SQL注入关键字的数组(如`$ArrFiltrate`),然后遍历`$_POST`和`$_GET`全局数组,...
很好用的PHP注入
06-23
简介:<?php  /**   * 参数处理类   * @author JasonWei   */  class Params  {      public $get = array();        public $post = array();        function __construct()      {  if (!emptyempty($_GET)) {      foreach ($_GET as $key => $val) {  if (is_numeric($val)) {      $this->get[$key] = $this->getInt($val);  } else {      $this->get[$key] = $this->getStr($val);  }      }  }  if (!emptyempty($_POST)) {      foreach ($_POST as $key => $val) {  if (is_numeric($val)) {      $this->post[$key] = $this->getInt($val);  } else {      $this->post[$key] = $this->getStr($val);  }      }  }这是一份很好用的PHP注入类,需要的朋友可以下载使用
比较好用的PHP注入漏洞过滤函数代码
12-18
复制代码 代码如下: <?PHP //PHP整站注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); function sec(&$array) { //如果是数组,遍历数组,递归调用 if (is_array (
php 怎么注入,php 注入的几种办法
weixin_42515120的博客
03-26 2031
php教程 注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php 字符串注入,PHP注入安全代码
weixin_29796279的博客
03-09 122
判断传递的变量中是否含有非法字符我们把以下代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们一劳永逸的效果。简述:/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:注入*****************...
php过滤提交数据 止sql注入攻击无标题笔记
09-30 377
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
转:PHP止SQL注入的方法
weixin_34258838的博客
10-08 769
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
php止sql注入处理方法
lw545034502的博客
05-27 728
解决的办法是将php.ini的magic_quotes_gpc设置为Off 在php.ini的magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。 注:magic_quotes_gpc=On时会有问题:在Cookies里,如果有'这样的标点符号,会将这些符号全部转义为\'。 如果这个选项为o...
WEB渗透Web突破篇-SSRF
最新发布
qq_59468567的博客
08-03 935
转码服务 在线翻译 获取超链接的标题等内容进行显示 请求远程服务器资源的地方,图片加载与下载(通过URL地址加载或下载图片) 图片、文章收藏功能 对外发起网络请求的地方,网站采集、网页抓取的地方。 头像 (远程加载头像) 一切要你输入网址的地方和可以输入ip的地方。 数据库内置功能(mongodb的copyDatabase函数) 邮件系统 文件处理 在线处理工具 从URL关键字中寻找:share、wap、url、link、src、source、target、u、3g、display、sourceURl、im
php 注入mysql攻击
06-06
止 SQL 注入攻击,我们需要在 PHP 中使用预处理语句和绑定参数的方法来执行 MySQL 查询。 下面是一个使用预处理语句和绑定参数的 PHP 代码示例: ```php // 连接 MySQL 数据库 $conn = new mysqli($servername...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值