php跨站ip,简单的 php 防注入、防跨站 函数

最新推荐文章于 2021-03-26 00:31:08 发布
最新推荐文章于 2021-03-26 00:31:08 发布
阅读量82 收藏
点赞数
文章标签: php跨站ip

function fn_safe($str_string) {

//直接剔除

$_arr_dangerChars = array(

"|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", PHP_EOL //特殊字符

);

//正则剔除

$_arr_dangerRegs = array(

/* -------- 跨站 --------*/

//html 标签

"//i",

//html 属性

"/on(afterprint|beforeprint|beforeunload|error|haschange|load|message|offline|online|pagehide|pageshow|popstate|redo|resize|storage|undo|unload|blur|change|contextmenu|focus|formchange|forminput|input|invalid|reset|select|submit|keydown|keypress|keyup|click|dblclick|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousedown|mousemove|mouseout|mouseover|mouseup|mousewheel|scroll|abort|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadedmetadata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting)\s*=\s*(\"|')?\S*(\"|')?/i",

//html 属性包含脚本

"/\w+\s*=\s*(\"|')?(java|vb)script:\S*(\"|')?/i",

//js 对象

"/(document|location)\s*\.\s*\S*/i",

//js 函数

"/(eval|alert|prompt|msgbox)\s*\(.*\)/i",

//css

"/expression\s*:\s*\S*/i",

/* -------- sql 注入 --------*/

//显示 数据库 | 表 | 索引 | 字段

"/show\s+(databases|tables|index|columns)/i",

//创建 数据库 | 表 | 索引 | 视图 | 存储过程 | 存储过程

"/create\s+(database|table|(unique\s+)?index|view|procedure|proc)/i",

//更新 数据库 | 表

"/alter\s+(database|table)/i",

//丢弃 数据库 | 表 | 索引 | 视图 | 字段

"/drop\s+(database|table|index|view|column)/i",

//备份 数据库 | 日志

"/backup\s+(database|log)/i",

//初始化 表

"/truncate\s+table/i",

//替换 视图

"/replace\s+view/i",

//创建 | 更改 字段

"/(add|change)\s+column/i",

//选择 | 更新 | 删除 记录

"/(select|update|delete)\s+\S*\s+from/i",

//插入 记录 | 选择到文件

"/insert\s+into/i",

//sql 函数

"/load_file\s*\(.*\)/i",

//sql 其他

"/(outfile|infile)\s+(\"|')?\S*(\"|')/i",

);

$_str_return = $str_string;

//$_str_return = urlencode($_str_return);

foreach ($_arr_dangerChars as $_key=>$_value) {

$_str_return = str_ireplace($_value, "", $_str_return);

}

foreach ($_arr_dangerRegs as $_key=>$_value) {

$_str_return = preg_replace($_value, "", $_str_return);

}

$_str_return = htmlentities($_str_return, ENT_QUOTES, "UTF-8", true);

return $_str_return;

}

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

爱范儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单php 注入防跨 函数
weixin_30505043的博客
01-04 145
/** * 简单php 注入防跨 函数 * @return String */ function fn_safe($str_string) { //直接剔除 $_arr_dangerChars = array( "|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", P...
php 跨站脚本攻击,php止sql注入以及xss跨站脚本攻击
weixin_32760125的博客
03-09 180
1.post数据封装转义函数 sql注入 eag:addslashes($username);​addslashes($password);​eag:止sql注入函数封装function deepslashes($data){#判断$data的表现形式 并且需要处理空的情况if(empty($data)){return($data);}​#高级简写 return is_array($data...
PHP简单注入
risingsun001的专栏
05-18 548
index.php 加上以下内容,免注入。 foreach (array("'", '%27', '"', '%22', '(', '%28', '*', '%2A', '.php', '.js', '.css', '.png', '.jpg', '.gif', '.txt', '.ico', '.ini', '.ssh', '.svn', '.log') as $k1 => $v1) if(fa
php注入程序,一个全面的PHP注入程序_PHP教程
weixin_35909238的博客
03-12 115
这是一个考虑比较全面的php和sql结合的注入程序,在php方便主要对get,post,cooke,files进行了过滤,在sql中我们就对delete,update一些查询命令进行检测过滤。SQL注入攻击的总体思路·发现SQL注入位置;·判断后台数据库类型;·确定XP_CMDSHELL可执行情况·发现WEB虚拟目录·上传ASP,php,jsp木马;·得到管理员权限;代码如下复制代码if (@g...
php止csrf /文件上传/xfs漏洞/非web接口安全/sql注入
qq_35772366的博客
08-03 3091
csrf是一种通过有权限用户在不知情的情况下点开了黑客的链接,黑客通过譔用户的权限进行一系利用户不知情的操作。 一般都是提交form表单。 在我不知道csrf以前,我判段用户是否登录都是在session存一个标识符,程序进行操作时都会判段此标识符是否存在。可是对csrf这个东西来说我这个安全措施是不存在的,想一想,用户的session是靠什么来进行区分的,靠的是存在cookie中的session
PHP源码-[主机域名]菁菁二级域名系统 v1.0_qqymv1.0.zip
最新发布
05-26
7. **安全性与护**:作为一款源码,系统应考虑安全措施,如SQL注入护、XSS跨站脚本攻击护、CSRF(跨站请求伪造)护等,确保用户数据安全。 8. **部署与配置**:部署该系统需要服务器环境支持PHP运行,例如...
PHP源码-[主机域名]木翼二级域名系统v1.1_wingdomain11.zip
05-26
- **安全编程**:了解如何预常见的Web安全问题,如SQL注入跨站脚本攻击。 4. **部署与运行**: - **服务器环境配置**:需要PHP运行环境(如LAMP或LNMP)及相应的服务器软件。 - **源码上传与解压**:将`PHP...
基于PHP的微信域名封短网址程序.zip
08-28
PHP微信域名封短网址程序详解】 在互联网营销领域,微信因其庞大的用户基数和强大的社交功能,成为了许多企业和个人推广的重要平台。然而,微信为了维护用户体验和平台秩序,有时会封禁一些被认为违规的外部...
php中filter函数验证、过滤用户输入的数据
12-19
PHP编程中,确保用户输入的安全性和有效性是至关重要的,因为不正确的用户输入可能会导致安全漏洞,例如SQL注入跨站脚本攻击等。PHP提供了一套强大的过滤器(Filter)函数来帮助开发者验证和过滤来自非安全源的...
PHP版基于GeoIP2实现根据ip获取地理位置
06-24
在控制器或任何需要获取IP地理位置的地方,可以注入`geoip2`服务: ```php use Illuminate\Http\Request; use App\Providers\GeoIP2ServiceProvider; public function getLocation(Request $request) { $ip ...
PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞
weixin_41380972的博客
12-29 2037
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 止SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
php 怎么注入,php 注入的几种办法
weixin_42515120的博客
03-26 2029
php教程 注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
xss php 转义_整理php注入和XSS攻击通用过滤
weixin_39963523的博客
03-09 409
对网发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
php 注入的一些总结
Zack 的博客
07-26 5712
一、几个与特殊字符处理有关的PHP函数  函数名  释义  介绍 htmlspecialchars 将与、单双引号、大于和小于号化成HTML格式 &转成&  "转成" ' 转成' >转成> htmlentities() 所有字符都转成HTML格式 除上面htmlspecialchars字符外,还包括双字节字符
实现PHP整体注入
zjuwangleicn的博客
03-14 481
突然想到是不是能够通过一个文件来处理整个网中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我...
php注入函数addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别
寻找甘当科学家的女人/男人
01-21 3508
来源:http://www.akii.org/2009-08/php-in-the-addslashes-mysql_real_escape_string-and-mysql_escape_string-the-difference-between/这三个函数的功能各有不同,前两个如果没有加载mysql库是都用不上的,当然,现在有PDO的prepare然后setParam当然是很方便,mysq
php 释放内_PHP如何注入及开发安全
weixin_39938855的博客
12-21 144
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...
tp php运算 round,THINKPHP使用I()函数中过滤的问题
weixin_39774044的博客
03-13 279
后台接收富文本的值,不进行过滤。然后用函数处理xss一般用这个方法//过滤XSS攻击function reMoveXss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as /...
比较好用的PHP注入漏洞过滤函数代码
★昔梦无痕★
03-15 5205
<?php //PHP注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc()) { $_GET = sec($_GET); $_POST = sec($_POST); $_COOKIE = sec($_COOKIE); $_FILES = sec($_FI
PHP与MySQL入门教程
PHP名称的全称是“超文本预处理器”,其特点是简单易学,且跨平台性强,支持多种操作系统,包括Unix、Linux和Windows。 PHP的发展历程始于Rasmus Lerdorf在1995年为了构建个人简历网所创建的“个人主页工具”。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值