php网站防挂马,PHP防SQL注入,防挂马、防跨站攻击

最新推荐文章于 2023-01-10 12:40:50 发布
最新推荐文章于 2023-01-10 12:40:50 发布
阅读量119 收藏
点赞数
文章标签: php网站防挂马

SQL注入攻击,是攻击者在表单或地址栏中提交精心构造的sql语句,改动原来的sql语句,如果程序没有对提交的数据经过严格检查,那么就会造成sql注入攻击。

SQL注入因为要操作数据库,所以一般会查找SQL语句关键字:insert、delete、update、select,查看传递的变量参数是否用户可控制,有无做过安全处理。

防止SQL注入攻击的一些函数:

/**

+----------------------------------------------------------

* 防挂马、防跨站攻击、防sql注入函数

+----------------------------------------------------------

*$date 传入的参数,要是个变量或者数组;$ignore_magic_quotes变量的魔术引用

+----------------------------------------------------------

*/

function in($data,$ignore_magic_quotes=false)

{

if(is_string($data))

{

$data=trim(htmlspecialchars($data));//防止被挂马,跨站攻击

if(($ignore_magic_quotes==true)||(!get_magic_quotes_gpc()))

{

$data = mysql_real_escape_string($data);//防止sql注入

}

return $data;

}

else if(is_array($data))//如果是数组采用递归过滤

{

foreach($data as $key=>$value)

{

$data[$key]=in($value);

}

return $data;

}

else

{

return $data;

}

} 再帖个函数,防别人留html和iframe的

function html_in($str)

{

$search = array ("''si", // 去掉 javascript

"']*?>.*?'si", // 去掉iframe

);

$replace = array ("",

"",

);

$str=@preg_replace ($search, $replace, $str);

$str=htmlspecialchars($str);

if(!get_magic_quotes_gpc())

{

$str = addslashes($str);

}

return $str;

} discuz的php防止sql注入函数:

$magic_quotes_gpc = get_magic_quotes_gpc();

@extract(daddslashes($_COOKIE));

@extract(daddslashes($_POST));

@extract(daddslashes($_GET));

if(!$magic_quotes_gpc) {

$_FILES = daddslashes($_FILES);

}

function daddslashes($string, $force = 0) {

if(!$GLOBALS['magic_quotes_gpc'] || $force) {

if(is_array($string)) {

foreach($string as $key => $val) {

$string[$key] = daddslashes($val, $force);

}

} else {

$string = addslashes($string);

}

}

return $string;

}

Cyandev
关注
sql注入原理及解决方案
m0_59673895的博客
11-16 4万+
②不安全的数据库配置;⑥多个提交处理不当。这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。其实所有的类型都是根据数据库本身表的类型所产生的,在我们创建表的时候会发现其后总有个数据类型的限制,而不同的数据库又有不同的数据类型,但是无论怎么分常用的查询数据类型总是以数字与字符来区分的,所以就会产生注入点为何种类型。
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8090
常见的漏洞攻击:1、xss:是跨脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
PHP.ini方式注或挂
程序猿在武汉
08-01 1074
当要在防止页面攻击时,可在页面的头部include攻击文件,就像通用注入文件。我们可以用三种情况来办到:  1、在每个文件内引用。这样的文件是可以,不过如果一个网站内有几百个文件的话就不方便了。 2、在共同包含文件内引用一下,比如 config.inc.php。这是一个好办法,也是目前市场上比较流行的做法。 3、在php.ini中引用。在配置文件内引用
php防止执行exec,患于未然:如何防止论坛被挂
weixin_31832681的博客
03-12 311
# ee /usr/local/Zend/etc/php.inictrl+y查找:disable_functions找到后在=后面添加exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,popepassthru,chroot,scandir...
PHPSQL注入防挂防跨攻击
weixin_34384681的博客
10-30 270
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP网站被挂御战
ve12345的博客
06-03 524
最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主机任意硬盘位置,可以说接近在主机上管理文件了,更糟糕的是还可以执行本地程序或命令,管理mysql等等 它怎么隐藏和伪装的? 它一般藏的目...
dedecms index.php,PHP,dedecms挂漏洞的解决方法与预
weixin_27442001的博客
03-19 718
在DEDECMS最新的5.7版本和5.7SP1版本后台都有个安全检测,data目录如果使用默认的名称,那么DEDE系统的安全肯定会大打折扣。相信大家都看到这样的提示:强烈建议将data目录搬移到Web根目录以外,查看如何搬迁。但是对于虚拟主机来说,有些虚拟主机限制,不给移动到web目录以外,那么为了最大限度的减少网站攻击的可能,我们可以将data目录改名,这样也进一步减少了攻击的可能。具体操作如...
基于Apache PHP Mysql网站SQL注入护探讨.pdf
09-19
越来越多的网络访问通过Web界面进行操作,Web安全已经成为互联网安全的一个热点基于Web的攻击广为流行,SQL注入、跨脚本等Web应用层漏洞的存在使得网站沦陷、页面篡改、网页挂攻击行为困扰着网站管理者并威胁...
数据库中的内容字段被挂的替换方法 SQL注入
12-15
SQL注入】是一种常见的网络安全问题,它发生在攻击者通过输入恶意的SQL代码来欺骗数据库服务器,获取、修改、删除敏感信息或控制整个数据库系统。在本文中,我们将讨论如何处理数据库内容字段被挂(即植入恶意...
PHP防止攻击的技巧
钟长森的博客
04-12 765
点击查看详细设置步骤
教你如何防止网站被挂
weixin_30670151的博客
08-27 184
如何防止网站被挂! A。为什么好好的网站会有木? 一般木是来自ASP SHELL和PHP SHELL的程序段控制不严,程序上有上传功能,没有进行文件目录和文件后缀等的判断,一般这类的目录,以“海阳顶端网ASP木 ”较为流行。 因2003平台IIS6原因,也存在目录名问题引起ASP木。( 微软的IIS 6存在严重解析文件名错误 测试办法:在FTP中建立一个 te...
从nginx层阻断可执行的php防止php网站被挂
最新发布
aixh1985的博客
01-10 1786
从nginx层阻断可执行的php防止php网站被挂
防止和修复php网站被挂木(宝塔)
qq_40194668的博客
01-13 5286
防止和修复php网站被挂木
PHP常见漏洞的范措施
大鹏
12-18 2083
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
php被挂,PHP网站被挂御战
weixin_42388716的博客
03-12 497
最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木...
有效PHP攻击的技巧
南三方---网站设计开发录
06-27 487
有效PHP攻击的技巧 1、防止跳出web目录首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:php_admin_value open_basedir /usr/local/apac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值