PHP防止被xss和sql语句注入攻击的方法(网站和app通用)

最新推荐文章于 2024-06-17 15:49:53 发布
最新推荐文章于 2024-06-17 15:49:53 发布
阅读量998 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oMiracle123/article/details/71743370
版权 
传过来的参数 如果是整数类型 那就直接用intval函数转化为整数 字符串 那就要用函数了  注意输入的内容htmlspecialchars过滤代码如下
// Anti_SQL Injection, escape quotes

function filter($content) {
    if (!get_magic_quotes_gpc()) {
        return addslashes($content);
    } else {
        return $content;
    }
}


//过滤参数防止xss攻击 如果返回0 说明被攻击 中断执行
function filterStr($arr,$dec='')
{
    $reivearr = trim($arr);
    if (!isset($arr)) {
        return null;
    }
    $arr = filter(stripSQLChars(stripHTML(trim($arr), true)));
    if ($reivearr != $arr) {
        echo json_encode(array('success' => 0, 'msg' => $dec.'含有非法字符'));
        exit();
    } else {
        return $arr;
    }
}



function stripHTML($content, $xss = true) {
    $search = array("@
  
  
   
   @is",
        "@(.*?)@is",
        "@
   
   
    
    @is",
        "@<(.*?)>@is"
    );

    $content = preg_replace($search, '', $content);

    if($xss){
        $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 
        'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 
        'layer', 'bgsound', 'title', 'base');
                                
        $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy',      'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
        $ra = array_merge($ra1, $ra2);
        
        $content = str_ireplace($ra, '', $content);
    }

    return strip_tags($content);
}

function removeXSS($val) {
    // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
    // this prevents some character re-spacing such as 
    
    
     
     
    // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
    $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val);

    // straight replacements, the user should never need these since they're normal characters
    // this prevents like 
     
     
    $search = 'abcdefghijklmnopqrstuvwxyz';
    $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $search .= '1234567890!@#$%^&*()';
    $search .= '~`";:?+/={}[]-_|\'\\';
    for ($i = 0; $i < strlen($search); $i++) {
        // ;? matches the ;, which is optional
        // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

        // @ @ search for the hex values
        $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
        // @ @ 0{0,7} matches '0' zero to seven times
        $val = preg_replace('/({0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
    }

    // now the only remaining whitespace attacks are \t, \n, and \r
    $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 
                            'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 
                            'layer', 'bgsound', 'title', 'base');
                            
    $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy',      'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
    $ra = array_merge($ra1, $ra2);

    $found = true; // keep replacing as long as the previous round replaced something
    while ($found == true) {
        $val_before = $val;
        for ($i = 0; $i < sizeof($ra); $i++) {
            $pattern = '/';
            for ($j = 0; $j < strlen($ra[$i]); $j++) {
                if ($j > 0) {
                    $pattern .= '(';
                    $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?';
                    $pattern .= '|({0,8}([9][10][13]);?)?';
                    $pattern .= ')?';
                }
                $pattern .= $ra[$i][$j];
            }
            $pattern .= '/i';
            $replacement = substr($ra[$i], 0, 2).'
     
     
      
      '.substr($ra[$i], 2); // add in <> to nerf the tag
            $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
            if ($val_before == $val) {
                // no replacements were made, so exit the loop
                $found = false;
            }
        }
    }

    return $val;
}

/**
 *  Strip specail SQL chars
 */
function stripSQLChars($str) {
    $replace = array('SELECT', 'INSERT', 'DELETE', 'UPDATE', 'CREATE', 'DROP', 'VERSION', 'DATABASES',
        'TRUNCATE', 'HEX', 'UNHEX', 'CAST', 'DECLARE', 'EXEC', 'SHOW', 'CONCAT', 'TABLES', 'CHAR', 'FILE',
        'SCHEMA', 'DESCRIBE', 'UNION', 'JOIN', 'ALTER', 'RENAME', 'LOAD', 'FROM', 'SOURCE', 'INTO', 'LIKE', 'PING', 'PASSWD');
    
    return str_ireplace($replace, '', $str);
}

     
     
    
    
   
   
  
  




查看原文:http://newmiracle.cn/?p=140
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
分享一个php的防火墙,拦截SQL注入xss
hetangyuese321的博客
09-22 562
这个是一个一个基于php的防火墙程序,拦截sql注入xss攻击,无需服务器支持 安装 composer require xielei/waf 使用说明 $waf = new \Xielei\Waf\Waf(); $waf->run(); 自定义拦截规则 $rules = [ '\.\./', //禁用包含 ../ 的参数 '\<\?', //禁止php脚本出现 '\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入 'select([
php 避免xss_thinkphp防止xss攻击方法
weixin_35676745的博客
03-09 522
XSS(跨站脚本攻击)两种形式:输入JS代码或者HTML代码导致页面乱。● XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案:直接过滤所有的JavaScript脚本;转义Html元字符,使用htmlentities、htmlspecialchars等函数;系统的扩展函数库提供了XSS安全过滤的remove_xss方法;新版对URL访问的一些系统...
SQL注入攻击常用语句(非常全,不可错过)
06-29
SQL注入攻击常用语句。 内容包括: 判断有无注入点 猜帐号数目 猜解字段名称 猜解字符 得到库名 得到WEB路径 查询构造 ……
PHP防止SQL注入XSS攻击
听海Movie的专栏
09-15 6519
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以防止Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
XSS注入总结
最新发布
2401_84466229的博客
06-17 1505
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…在检查到XSS攻击时,停止渲染页面。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
php mysql sql注入语句_php mysql SQL注入语句构造
weixin_34069265的博客
01-21 154
由于PHP和MYSQL本身得原因,PHP+MYSQL的注射要比asp困难,尤其是注射时语句的构造方面更是个难点,本文主要是借对Okphp BBS v1.3一些文件得简单分析,来谈谈php+mysql注射语句构造方式,希望本文对你有点帮助。声明:文章所有提到的“漏洞”,都没有经过测试,可能根本不存在,其实有没有漏洞并不重要,重要的是分析思路和语句构造。二.“漏洞”分析:1.admin/login.p...
SQL注入攻击
weixin_45798017的博客
10-24 1015
简介 SQL注入攻击是指通过构建特殊的输入作为参数输入web应用程序,而这些输入大多是一些SQL组合语法,通过执行SQL语句执行攻击者要的操作,住哟啊原因是程序没有细致过滤用户输入信息,使得非法数据入侵。 SQL语句是写在后端的无法随便修改的,而我们在输入的位置做出特殊构造来达到想要的效果。 SQL基础及语法 前言 SQL语句分为两类:DDL(数据定义语言),DML(数据操作语言) DDL: cr...
ThinkPHP2.x防范XSS跨站攻击方法
12-19
- 使用预编译语句或者参数绑定来防止SQL注入。 - 对敏感操作进行CSRF(Cross-Site Request Forgery)防护,比如添加随机字符串作为请求验证令牌。 - 利用HTTP头部的`Content-Security-Policy`或`X-XSS-Protection...
基于Web APPSQL注入攻击路径探析及防范研究.pdf
09-19
本文通过深入探讨SQL注入的原理和攻击手法,强调了防范此类攻击的重要性和紧迫性。随着网络技术的不断进步,Web应用的安全性日益受到重视,采取有效的安全防护措施,不仅可以保护用户数据,还能维护企业声誉和业务...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入
热门推荐
时光隧道
02-09 7万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
SQL注入XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5684
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
SQL注入攻击
weixin_30768661的博客
01-15 85
1、为什么会存在这种攻击方式?   大多数的B/S系统或者C/S系统,都会涉及到数据的存储和交互,数据一般保存在SQL server、Mysql等数据库中。因此,常见的数据交互中,往往需要根据用户输入的信息进行数据库查询等操作:   (1)用户登录,需要根据用户填写的用户名和密码查询数据库进行校验。   (2)数据查询,需要根据指定条件过滤对应权限或者范围的数据。   这些操作一般是由客户...
php sql注入语句怎么写,sql注入语句是什么
weixin_39894104的博客
04-11 471
sql注入语句有三种,分别是:1、数字型注入点,语句如“select * from 表名 where id=1 and 1=1”;2、字符型注入点,语句如“select * from 表名 where name...”;3、搜索型注入点。本文操作环境:Windows7系统,SQL Server 2016版本,Dell G3电脑。sql注入常用语句SQL注入1. 什么是sql注入通过把SQL命令插入...
phpsql注入
weixin_58782362的博客
07-25 867
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).数据请求格式,有些时候是base64加密,有些时候json加密,base64需要直接进行转换,json是用bp抓包后进行更改,直接在值上面。如果单引号被限制了,可以使用16进制(sql注入中,编码就不用单引号,路径、表名、数据库等)通过A网站注入点直接拿到B网站的信息,但前提是需要root权限。
php操作mysql防止sql注入(合集)
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值