php防止注入漏洞,php防止sql注入漏洞代码

最新推荐文章于 2021-03-19 04:33:46 发布
最新推荐文章于 2021-03-19 04:33:46 发布
阅读量87 收藏
点赞数
文章标签: php防止注入漏洞

注入漏洞代码和分析

先上代码

ba67af714a9364849b5de700800fd3cb.gif

<?php function customError($errno, $errstr, $errfile, $errline) { echo "Error number: [$errno],error on line $errline in $errfile
"; die();

} set_error_handler("customError",E_ERROR); $getfilter="'|(and|or)\\b.+?(>|||

{ $StrFiltValue=implode($StrFiltValue);

} if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))

{

slog("
操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue); print "result notice:Illegal operation!"; exit();

}

} foreach($_GET as $key=>$value)

{

StopAttack($key,$value,$getfilter);

} foreach($_POST as $key=>$value)

{

StopAttack($key,$value,$postfilter);

} foreach($_COOKIE as $key=>$value)

{

StopAttack($key,$value,$cookiefilter);

} function slog($logs) { $toppath="log.htm"; $Ts=fopen($toppath,"a+"); fputs($Ts,$logs."\r\n"); fclose($Ts);

} ?>

sql

分析

如果使用这个函数的话,这个函数会绕开PHP的标准出错处理,所以说得自己定义报错处理程序(die())。

其次,如果代码执行前就发生了错误,那个时候用户自定义的程序还没有执行,所以就不会用到用户自己写的报错处理程序。

那么, PHP里有一套错误处理机制,可以使用 set_error_handler() 接管PHP错误处理,也可以使用 trigger_error() 函数主动抛出一个错误。

set_error_handler() 函数设置用户自定义的错误处理函数。函数用于创建运行期间的用户自己的错误处理方法。它需要先创建一个错误处理函数,然后设置错误级别。

关于的用法:

1 function customError($errno, $errstr, $errfile, $errline) 2 3 { 4 5 echo "错误代码: [${errno}] ${errstr}\r\n"; 6 7 echo " 错误所在的代码行: {$errline} 文件{$errfile}\r\n"; 8 9 echo " PHP版本 ",PHP_VERSION, "(" , PHP_OS, ")\r\n"; 10 11 // die(); 12 13 } 14 15 set_error_handler("customError",E_ALL| E_STRICT);

梦双月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7999
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
如何防止php漏洞,关于PHP漏洞以及如何防止PHP漏洞
weixin_39765695的博客
03-19 86
漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露、cookie伪造、CSRF(跨站请求)等。这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何有效防止这些漏洞。1.xss + sql注入(关于xss攻击详细介绍)其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。用PHP写...
php mysql防注入函数_PHP 如何实现防止SQL注入详解
weixin_30120827的博客
02-28 242
SQL注入是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句,下面为大家讲述一下PHP如何实现防止SQL注入。1、检测提交数据是不是...
php异常和错误处理
暗夜随风君的博客
05-25 1361
异常和错误处理  在语言级别上,通常具有许多错误处理模式,但这些模式往往建立在约定俗称的基础上,也就是说这些错误都是预知的。但是在大型程序中,如果每次调用都去逐一检查错误,会使代码变得冗长复杂,到处充斥着if……else,并且严重降低代码的可读性。而且人的因素也是不可信赖的,程序员可能并不会把这些问题当一回事,从而导致业务异常。在这种背景下,就逐渐形成了异常处理机制,或者强迫消除这些问题,或者把问题
phpsql注入漏洞示例 sql注入漏洞修复
12-18
以下是一些关于PHPSQL注入漏洞及其修复方法的详细解释。 1. **SQL注入原理**: SQL注入的基本步骤包括: a) 找到注入点,通常是用户输入数据会被直接拼接到SQL查询中的地方,如登录界面、搜索框。 b) 构造恶意...
php防止sql注入的方法详解
10-20
定期进行代码审查,检查是否存在SQL注入漏洞。使用自动化工具如SQLMap进行渗透测试,确保应用程序的安全性。 通过上述方法,开发者可以有效地降低PHP应用程序遭受SQL注入攻击的风险。然而,最重要的是要时刻保持...
php168sql注入漏洞
08-15
### PHP168 SQL注入漏洞分析与利用 #### 背景介绍 PHP168是一款基于PHP语言开发的内容管理系统,被广泛应用于政府网站、企业官网等场景中。然而,在某些版本中,PHP168存在着严重的SQL注入漏洞,攻击者可以利用此...
php is_numberic函数造成的SQL注入漏洞
09-04
然而,如标题和描述所指出的,不当使用`is_numeric`可能会导致SQL注入漏洞,这是一种严重的安全问题。 一、`is_numeric`函数详解 `is_numeric`函数不仅会识别整数和浮点数,还会接受以数字开头的字符串,比如"123...
PHP防止SQL注入实现代码
10-28
- 应用程序的安全编码实践,如遵循OWASP(开放网络应用安全项目)的指南,可以帮助防止SQL注入和其他安全漏洞。 总之,防止SQL注入PHP开发中的核心任务,需要结合多种方法和技术来确保数据安全。通过使用预处理...
php sql注入判断,php防止sql注入漏洞过滤函数的代码
weixin_33419842的博客
03-12 135
php防止sql注入漏洞过滤函数的代码//整型化return $id;}//字符过滤函数function str_check($str) {if (inject_check ( $str )) {die ( '非法参数' );}//注入判断$str = htmlspecialchars ( $str );//转换htmlreturn $str;}function search_check($str...
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1310
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
防止sql注入php函数,防止SQL注入PHP 函数
weixin_30539317的博客
03-19 154
SQL 注入或者 SQLi 常见的攻击网站的手段,使用下面的代码可以帮助你防止SQL注入function clean($input){if (is_array($input)){foreach ($input as $key => $val){$output[$key] = clean($val);// $output[$key] = $this->clean($val);}}else...
如何修复php网站漏洞
网站漏洞修复专家
04-08 3789
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。 metinfo...
PHP如何防止黑客利用注入漏洞执行危险的命令
mole的专栏
01-04 2090
1、清理输入 在将用户输入的字符串作为命令的一部分提交给系统执行前,为了防止被黑客利用,所以,需要将输入的命令字符串处理一下。 例如有下列代码: $document = $_POST['userurl']; passthru("htmldoc --webpage -f webpage.pdf $document); 当程序执行时,若黑客提交的userurl包含下列数据: http://www.wj
php如何防sql注入,php如何预防sql注入
weixin_39785081的博客
03-09 182
在查询数据库时需要防止sql注入实现的方法:PHP自带了方法可以将sql语句转义,在数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。(推荐学习:PHP编程从入门到精通)string addslashes ( string $str )//该函数返回一个字符串范例...
[毕业设计]VB+ACCESS高校班级日常管理系统(源代码+论文).zip
最新发布
08-07
[毕业设计]VB+ACCESS高校班级日常管理系统(源代码+论文)
PHP代码审计:SQL注入漏洞分析
"这篇教程主要介绍了PHP代码审计中的SQL注入问题,包括普通注入和宽字节注入的案例分析,以及涉及的函数如str_replace、stripslashes和addslashes在防止SQL注入中的作用。" 在Web开发中,SQL注入是一种常见的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值