php防注入

最新推荐文章于 2024-05-07 16:28:22 发布
最新推荐文章于 2024-05-07 16:28:22 发布
阅读量770 收藏
点赞数
分类专栏: PHP 文章标签: php merge function java include url
/*************************
说明:
判断传递的变量中是否含有非法 字符
如$_POST、$_GET
功能:
防注入
**************************/

//要过滤的非法字符
$ArrFiltrate=array("'",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}

//合并$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}

//验证开始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo " <script language="/"<a" type="text/javascript" href="/chinaitpower/Dev/Programme/Java/index.html" target="_blank">javascript/">alert(/"非法字符/");</script> ";
if (empty($StrGoUrl)){
echo " <script language="/"<a" type="text/javascript" href="/chinaitpower/Dev/Programme/Java/index.html" target="_blank">javascript/">history.go(-1);</script> ";
}else{
echo " <script language="/"<a" type="text/javascript" href="/chinaitpower/Dev/Programme/Java/index.html" target="_blank">javascript/">window.location=/"".$StrGoUrl."/";</script> ";
}
exit;
}
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

sunnykobe8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php注入代码
10-12
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
php网站如何止sql注入
の原為じ簡單
12-13 124
php网站如何止sql注入? 网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,止自己的网站被sql注入。 如今主流的网站开发语言还是php,那我们就从php网站如何止sql注入开始说起: Php注入的安全范通过上面的过程,我们可以了解到php注入...
php注入 通用,php通用注入注入详细说明
weixin_35716518的博客
03-11 326
php通用注入主要是过滤一些sql命令与php post get传过来的参考我们/要过滤一些非法字符,这样可以止基本的注入了,那关第于apache 服务器安装设置方法也是必须的,管理员用户名和密码都采取md5加密,这样就能有效地止了php注入.还有服务器和mysql教程也要加强一些安全范.对于linux服务器的安全设置:加密口令,使用“/usr/sbin/authconfig”工具打开密...
php 注入
万里船的专栏
05-21 453
1、sql_injection $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $k
array_merge()——PHP
苏公子的博客
05-14 260
array_merge() 函数把一个或多个数组合并为一个数组。 1 如果您仅向 array_merge() 函数输入一个数组,且键名是整数,则该函数将返回带有整数键名的新数组,其键名以 0 开始进行重新索引。 <?php $a=array(3=>"red",4=>"green"); print_r(array_merge($a)); ?> 结果: Array ...
php注入和XSS攻击通用过滤
donglianyou的专栏
04-06 1520
php注入和XSS攻击通用过滤
php如何注入,PHP如何注入
weixin_31002075的博客
03-10 1151
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:show.p...
php 怎么注入,php 注入的几种办法
weixin_42515120的博客
03-26 1991
php教程 注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php注入函数
若水印象博客
03-05 1322
1、 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统 //注入 functi
php中的sql注入
ocean2017的博客
03-17 1289
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
PHP注入安全代码
10-30
判断传递的变量中是否含有非法字符我们把以下代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们...
简单的php注入类库
05-02
PHP注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了
PHP注入文件
10-13
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
整理php注入和XSS攻击通用过滤
12-19
那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1714
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
Web安全研究(九)
至臻求学,胸怀云月
05-05 1129
这段代码事实上实现了一个 webshell 的基本功能,因为它允许通过 URL 参数直接控制和执行服务器端的代码,极其危险。在实际应用开发中,应避免直接使用eval函数,特别是当其包含来自用户输入的数据时。同时,也应该对所有用户输入进行严格的验证和过滤,以减少潜在的安全风险。
PHP 在字符中找出重复次数最多的字符
zzjnlwb的专栏
05-06 271
应该也还有其他很多办法!等我遇到了再更新本篇!我感觉这是最简单的一种办法!
免费的发票查验接口平台 PHP开发示例
最新发布
weixin_49544544的博客
05-07 261
发票识别接口,自主ocr核心技术,无论是增值税发票、火车票、打车票还是财政类票据,仅需一键上传即可快速、精准识别全票面信息,且可进行发票的自动分类,避免了人工录入的误差,提升了发票管理数字化效率与准确率。传统手动录入的方式不仅耗时长,繁琐低效,且容易出现人为错漏的风险,让财务工作者头疼不已。发票识别+发票查验接口可以解决票据信息录入繁琐、易出错等一系列难题,体验发票管理的革命性飞跃。发票查验接口,实时联网查验增值税发票管理系统开具发票的真伪,核验为真还可返回全票面信息,且可进行发票的批量核验。
php 注入mysql攻击
06-06
止 SQL 注入攻击,我们需要在 PHP 中使用预处理语句和绑定参数的方法来执行 MySQL 查询。 下面是一个使用预处理语句和绑定参数的 PHP 代码示例: ```php // 连接 MySQL 数据库 $conn = new mysqli($servername...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值