PHP如何防止黑客利用注入漏洞执行危险的命令

最新推荐文章于 2024-04-30 13:56:42 发布
最新推荐文章于 2024-04-30 13:56:42 发布
阅读量2k 收藏 1
点赞数
分类专栏: PHP 文章标签: 防止 注入 漏洞 安全 PHP
未经本人同意,禁止复制文章内容
本文链接:https://blog.csdn.net/mole/article/details/42402479
版权
1、清理输入
在将用户输入的字符串作为命令的一部分提交给系统执行前,为了防止被黑客利用,所以,需要将输入的命令字符串处理一下。
例如有下列代码:
$document = $_POST['userurl'];
passthru("htmldoc --webpage -f webpage.pdf $document);
当程序执行时,若黑客提交的userurl包含下列数据:
http://www.wj.com/ ; cd /var/www/; rm -rf *
那么大部分UNIX shell会将这个passthru()请求解释为3个单独的命令:
htmldoc --webpage -f webpage.pdf http://www.wj.com/
cd /var/www
rm -rf *
后面两条命令为将整个web文档全部删除。为了防止这种情况发生,所以需要让PHP在解析拼接输入字符的时候,把所有输入字符看成一个完整的字符串,就不会发生这种情况了,为此需要调用函数escapeshellarg()来实现。
定义:string escapeshellarg(string arguments)
说明:返回的值为传入值两头加上单引号。

另一个函数也可以起到类似的预防作用,escapeshellcmd(),其与escapeshellarg()的差异在于他是对传入字符进行转义来清理掉可能的危险。
定义:string escapeshellcmd(string command)

mole
关注
专栏目录
命令注入讲解ppt.pptx
08-10
即当恶意黑客进入一个有命令注入漏洞的网页时,他们构造数据同时输入了恶意命令代码,因为系统对此并未过滤,恶意命令代码一并执行,最终导致信息泄露或者正常数据的破坏,甚至可能会导致恶意命令掌控该用户的电脑和...
php危险函数及rce漏洞
qq_58683895的博客
10-25 837
php危险函数的掩饰执行,以及rce漏洞的介绍
PHP常见函数漏洞
Elite的博客
04-11 3315
常见的PHP特性(bug)总结,干货满满哦
黑客常用的PHP漏洞利用技术
最新发布
小司机的奥拓
04-30 941
黑客常用的PHP漏洞利用技术随着互联网的普及和发展,网络安全问题也成为了一个全球性的难题。而黑客作为网络安全的"敌人",其手法也是不断创新和进化的。而在黑客攻击中,基于PHP的网站往往成为主要目标之一。PHP是一种功能强大且广泛应用的编程语言,但由于其开源性质以及易于学习与使用,也给黑客提供了很多漏洞利用机会。本文将介绍黑客常用的几种PHP漏洞利用技术,并提供相应的代码示例。上述代码中,直接将用户输入的id拼接到SQL查询语句中,并执行该查询。如果黑客在URL中传入,将会执行一个等价于。
关于PHP代码防范黑客攻击的措施和策略探讨
指尖优雅的专栏
02-17 414
PHP 中,可以使用 PDO 或 mysqli 扩展库来连接数据库,并使用准备好的语句来执行 SQL 查询。在 PHP 中,可以使用会话机制来保存用户的登录状态,并在需要验证用户身份时检查会话 ID。在 PHP 中,可以使用过滤器函数和正则表达式来过滤和验证用户输入的数据,确保它符合预期的格式和内容。在处理上传的文件时,应该对文件类型、大小和内容进行限制和验证,以确保它们不包含任何恶意代码或病毒。避免在 PHP 中直接使用用户输入的数据作为文件路径、命令参数等,以防止路径遍历攻击和命令注入攻击。
渗透测试之---PHP中常见的命令执行函数及其利用与防御
qq_43168364的博客
04-18 2138
一、概述 我们用脚本语言编写的应用程序,在执行的过程中可能会需要调用一些外部应用程序。它在调用时会用到一些系统命令函数,如果这些函数在调用的过程中将用户的输入作为参数,并且没用对用户输入的参数做限制的话,攻击者就可以利用这样的漏洞进行破坏。接下来我们来看看PHP中常见的命令执行函数。 二、常见的命令执行函数 system() ; exec() ; shell_exec() ;passthru......
PHP使用PDO实现mysql防注入功能详解
10-15
SQL注入攻击是黑客通过输入恶意的SQL代码,利用程序对用户输入数据未经充分过滤或验证,导致程序执行非预期的数据库操作。在上述例子中,当用户输入`' or 1=1 #`作为用户名时,原本的SQL查询语句被篡改,导致所有...
网络安全原理与应用:命令执行漏洞简介.pptx
05-16
**网络安全原理与应用:命令执行漏洞详解** 命令执行漏洞是Web应用安全领域中一个至关重要的问题,它涉及到服务器上的程序如何处理用户输入并执行系统命令。这种漏洞的存在使得攻击者有机会利用不恰当的数据过滤,...
sqli-labs(php7.3以上可运行)
01-29
在sqli-labs中,你可以扮演黑客的角色,尝试找出并利用SQL注入漏洞,这有助于提升你的安全意识和测试技能。渗透测试工具如Burp Suite、Sqlmap等,可以辅助进行自动化扫描和漏洞利用。 五、漏洞环境 sqli-labs提供了...
php xfocus防注入资料
12-18
SQL注入是Web应用程序面临的严重威胁,它允许攻击者通过构造特殊的输入来执行恶意SQL命令。要防止SQL注入,首要任务是确保所有来自用户的输入都经过适当的验证和清理。以下是一些策略: - **使用预处理语句和参数...
JaPHPh:又一个 PHP 黑客
06-25
杰夫 只是另一个 PHP 黑客。 执照 版权所有 (C) 2012 Christian Mayer 该程序是免费软件:您可以根据自由软件基金会发布的 GNU 通用公共许可证(许可证的第 3 版或(由您选择)任何更高版本)的条款重新分发和/或修改它。 分发此程序是希望它有用,但不作任何保证; 甚至没有对适销性或针对特定目的的适用性的暗示保证。 有关更多详细信息,请参阅 GNU 通用公共许可证。 您应该已经收到一份 GNU 通用公共许可证以及该程序。 如果没有,请参阅 。
浅谈CTF中escapeshellarg利用
读万卷书,行万里路。
08-09 5597
浅谈 escapeshellarg利用 文章目录浅谈 escapeshellarg利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
PHP代码注入PHP语言常见可注入函数以及PHP代码注入漏洞利用实例
m0_64378913的博客
06-26 7445
目录1 PHP注入概述2 相关函数与语言结构2.1 eval()函数2.2 assert()函数2.3 preg_replace()函数2.4 call_user_func()函数2.5 动态函数`$a($b)`3 总结 1 PHP注入概述 RCE概念:remote command/code execute,远程命令/代码执行PHP代码执行:在WEB中,PHP代码执行是指应用程序过滤不严,用户可用通过请求将代码注入到应用中执行PHP代码注入与SQL注入比较: 其注入思想是类似的,均是构造语句绕过服务
PHP代码执行漏洞总结大全
热门推荐
LJW_IIE的博客
10-11 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
php函数漏洞总结
qq_37410729的博客
07-31 1422
php一些漏洞函数
PHP代码执行漏洞总结
Jtype的专栏
08-11 782
一 代码执行函数PHP中可以执行代码的函数。如eval()、assert()、“、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等demo code 1.1:echo `dir`;?>二 文件包含代码注射文件包含函数在特定条件下的代码注射,如include()、inclu
PHP任意文件上传漏洞
yanyanphp的专栏
04-03 1590
 安全研究人员今天发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。 在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文件,这确实会导致其他安全问题。并且在这种情况下,在你自己的文件中检查漏洞很不现实,因为这个漏洞可以绕过你对文件名后缀、文件类型(Content-Type)、Mime type、文件大小等的检查,所以仅仅依靠这些检查是救不了你的。
防止命令注入
wuxing164的博客
04-24 4960
shell_exec 或是 exec 函数 可以使用escapeshellarg函数来转义 Shell 参数。,转义用户的输入并将其封装成单引号。 如: $targetIp = escapeshellarg($_GET['ip']); $output = shell_exec("ping -c 5 $targetIp"); ...
php中防注入的函数,php注入攻击函数
weixin_30430677的博客
04-02 382
php注入攻击函数/*php注入函数string$feifa限制元素组成如有非法字符跳转到上一页 返回 0没有返回 1*///使用方法//$feifa=array("select","delete","from","update","create","destory","drop","alter","and","or","like","exec","count","*","ch...
黑客利用Linux备份漏洞获取shell
1. **PHP注入攻击**:黑客利用`($zizzy);?>`语句中的变量`$zizzy`,将恶意路径作为参数传递,如`/etc/inetd.conf`、`/proc/cpuinfo`和`/etc/passwd`,从而间接读取或写入系统关键文件。这种技术被称为PHP文件包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值