PHP之SQL防注入代码,PHP防XSS 防SQL注入的代码

最新推荐文章于 2024-04-25 19:15:50 发布
最新推荐文章于 2024-04-25 19:15:50 发布
阅读量670 收藏
点赞数
分类专栏: 网站防御 文章标签: php sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012241616/article/details/120579967
版权

360提示XSS漏洞?这个XSS漏洞很不好修复。。。。。如果是PHP程序的话,可以用下面的代码来过滤。。。
PHP防XSS 防SQL注入的代码

class protection{
    public static function filtrate($str)
    {
        $farr = array(
            "/\\s+/",
            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
        );
        $str = preg_replace($farr,"",$str);
        return addslashes($str);
    }
      
    public static function sweep($array)
    {
        if (is_array($array))
        {
            foreach($array as $k => $v)
            {
                $array[$k] = self::sweep($v);
            }
        }
        else
        {
            $array = self::filtrate($array);
        }
        return $array;
    }
}
$_REQUEST = protection::sweep($_REQUEST);
$_GET = protection::sweep($_GET);
$_POST = protection::sweep($_POST);

PHP之SQL防注入代码(360提供)

<?php
class sqlsafe {
	private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
	private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
	private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
	/**
	 * 构造函数
	 */
	public function __construct() {
		foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}
		foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}
		foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}
	}
	/**
	 * 参数检查并写日志
	 */
	public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){
		if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);
		if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){   
			$this->writeslog($_SERVER["REMOTE_ADDR"]."    ".strftime("%Y-%m-%d %H:%M:%S")."    ".$_SERVER["PHP_SELF"]."    ".$_SERVER["REQUEST_METHOD"]."    ".$StrFiltKey."    ".$StrFiltValue);
			showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);
		}
	}
	/**
	 * SQL注入日志
	 */
	public function writeslog($log){
		$log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';
		$ts = fopen($log_path,"a+");
		fputs($ts,$log."\r\n");
		fclose($ts);
	}
}
?>
云博客-资源宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入php代码
08-24
SQL注入php,通用注入
PHP实现表单提交数据的验证处理功能【SQL注入XSS攻击等】
10-19
主要介绍了PHP实现表单提交数据的验证处理功能,可实现SQL注入XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 770
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
PHP后端安全性:如何SQL注入和跨站脚本攻击?
最新发布
ElvaRaleign的博客
04-25 858
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
php应对sql注入数据库处理
aicsswo的博客
03-07 499
PHPSQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
SQL注入解决方案(PHP为例)
is_scarecrow的博客
06-24 473
sql注入
PHPSQL注入代码,PHPCSRF、XSSSQL注入攻击
云博客_资源宝分享
08-12 2380
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHP字符串中特殊符号的过滤方法介绍
王兆镇的博客
10-16 348
function strFilter($str){ $str = str_replace('`', '', $str); $str = str_replace('·', '', $str); $str = str_replace('~', '', $str); $str = str_replace('!', '', $str); $str = str_replace('!', '', $str); $str = str_replace('@', '', $st
360提供的phpsql注入代码修改类
05-02
从360提供的PHPSQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。
php止网站被攻击的应急代码
主题模板站的博客
01-28 213
前不久一个网站竟然被攻击,数据库被刷掉了,幸好客户机器上有数据库备份。遇到这么严重的问题,必须抓紧找出漏洞,止再次被攻击。各方面检查之后发现除了服务器需要设置正确之外,其他无从下手,只好从ip地址上来解决这种攻击的问题。如果发现某个ip访问网站太频繁了就加入到黑名单禁止访问,这不是一个很好的办法,但情急之下向不更好的解决方式,只是权宜之计,以后再进行深入的研究一下。php止网站被攻击的应急代码,这是一个办法,绝对不是最好的解决方式,只是想提供给大家,大家一起探讨探讨。
php操作mysqlsql注入
chuaiyuan6611的博客
06-02 359
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
360_safe3通用XSS/SQL注入代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
PHP通用注入安全代码-修改可用
05-15
PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用
整理php注入XSS攻击通用过滤
12-19
那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
PHP XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
细谈phpSQL注入攻击与XSS攻击
10-28
通常在编程中程序员要考虑的问题不仅是代码效率与代码复用性,而且还要考虑一些安全问题
如何PHP中的SQL注入
m0_62946064的博客
11-04 106
内容来自 DOC如果没有对用户输入进行任何修改就插入到SQL查询中,那么应用程序就会容易受到这是因为用户可以输入类似于“value’);避免SQL注入攻击的正确方法是将数据与SQL分离,这样数据将保持数据的形式,并且永远不会被SQL解析器解释为命令。无论使用哪种数据库,都可以通过来确保安全。这些是单独发送到数据库服务器并与任何参数一起解析的SQL语句。这样,攻击者就无法注入恶意SQL。如果连接到的数据库不是MySQL,还可以参考特定于驱动程序的第二个选项(例如,和用于PostgreSQL)。
360 safe3.php源码,360提供的Php注入代码
weixin_42665255的博客
03-10 296
360提供的Php注入代码//Code By Safe3function customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile" ;die();}set_error_handler("customError",E_ERROR)...
360提供的Php注入代码
weixin_33733810的博客
10-11 559
<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ;...
phpsql注入xss攻击
06-01
SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云博客-资源宝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值