简单的 php 防注入、防跨站 函数

最新推荐文章于 2021-03-22 14:05:58 发布
最新推荐文章于 2021-03-22 14:05:58 发布
阅读量145 收藏
点赞数
原文链接:http://www.cnblogs.com/daxian2012/p/10217922.html
版权 
/**
 * 简单的 php 防注入、防跨站 函数
 * @return String
 */

function fn_safe($str_string) {
    //直接剔除
    $_arr_dangerChars = array(
        "|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", PHP_EOL //特殊字符
    );

    //正则剔除
    $_arr_dangerRegs = array(
        /* -------- 跨站 --------*/
        //html 标签
        "/<(script|frame|iframe|bgsound|link|object|applet|embed|blink|style|layer|ilayer|base|meta)\s+\S*>/i",

        //html 属性
        "/on(afterprint|beforeprint|beforeunload|error|haschange|load|message|offline|online|pagehide|pageshow|popstate|redo|resize|storage|undo|unload|blur|change|contextmenu|focus|formchange|forminput|input|invalid|reset|select|submit|keydown|keypress|keyup|click|dblclick|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousedown|mousemove|mouseout|mouseover|mouseup|mousewheel|scroll|abort|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadedmetadata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting)\s*=\s*(\"|')?\S*(\"|')?/i",

        //html 属性包含脚本
        "/\w+\s*=\s*(\"|')?(java|vb)script:\S*(\"|')?/i",

        //js 对象
        "/(document|location)\s*\.\s*\S*/i",

        //js 函数
        "/(eval|alert|prompt|msgbox)\s*\(.*\)/i",

        //css
        "/expression\s*:\s*\S*/i",

        /* -------- sql 注入 --------*/

        //显示 数据库 | 表 | 索引 | 字段
        "/show\s+(databases|tables|index|columns)/i",

        //创建 数据库 | 表 | 索引 | 视图 | 存储过程 | 存储过程
        "/create\s+(database|table|(unique\s+)?index|view|procedure|proc)/i",

        //更新 数据库 | 表
        "/alter\s+(database|table)/i",

        //丢弃 数据库 | 表 | 索引 | 视图 | 字段
        "/drop\s+(database|table|index|view|column)/i",

        //备份 数据库 | 日志
        "/backup\s+(database|log)/i",

        //初始化 表
        "/truncate\s+table/i",

        //替换 视图
        "/replace\s+view/i",

        //创建 | 更改 字段
        "/(add|change)\s+column/i",

        //选择 | 更新 | 删除 记录
        "/(select|update|delete)\s+\S*\s+from/i",

        //插入 记录 | 选择到文件
        "/insert\s+into/i",

        //sql 函数
        "/load_file\s*\(.*\)/i",

        //sql 其他
        "/(outfile|infile)\s+(\"|')?\S*(\"|')/i",
    );

    $_str_return = $str_string;
    //$_str_return = urlencode($_str_return);

    foreach ($_arr_dangerChars as $_key=>$_value) {
        $_str_return = str_ireplace($_value, "", $_str_return);
    }

    foreach ($_arr_dangerRegs as $_key=>$_value) {            
        $_str_return = preg_replace($_value, "", $_str_return);
    }

    $_str_return = htmlentities($_str_return, ENT_QUOTES, "UTF-8", true);

    return $_str_return;
}

 

转载于:https://www.cnblogs.com/daxian2012/p/10217922.html

weixin_30505043
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php中addslashes函数与sql注入
10-25
主要介绍了php中addslashes函数与sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
PHP 注入函数(格式化数据)
01-20
//格式化数据(注入) function site_addslashes($string, $force = 0) { !defined(‘MAGIC_QUOTES_GPC’) && define(‘MAGIC_QUOTES_GPC’, get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if...
phpip,简单php 注入防跨 函数
weixin_29085151的博客
03-10 82
function fn_safe($str_string) {//直接剔除$_arr_dangerChars = array("|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", PHP_EOL //特殊字符);//正则剔除$_arr_dangerRegs = array(/* -------- 跨 --------*///html ...
PHP-浏览器参数注入检测函数
蚂蚁学Python
02-22 237
对浏览器的URL的字段进行过滤,止进行SQL注入 function inject_check($sql_str) { $check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_st...
PHP注入的最简单函数
weixin_33898233的博客
05-29 100
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=&gt;$value) {$content[$key...
php注入函数代码【转】
weixin_30443075的博客
12-31 94
php注入函数代码在做php程序的时候,大家都比较重视网安全这块,那么在php中是如何注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在每个php文件前加include(“checkpostandget.php“);即可<?php /**...
简单php注入类库
05-02
为确保应用安全,开发人员需要采取有效的御措施,这就是“简单php注入类库”所关注的核心问题。 首先,我们需要理解SQL注入的工作原理。当用户数据未经验证或清理就直接与SQL查询拼接时,攻击者可能通过输入...
比较好用的PHP注入漏洞过滤函数代码
10-28
PHP注入程序,需要在公共文件中require_once本文件,因为现在网注入攻击现象很严重,所以推荐大家使用
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
SQL注入php类库.zip
07-11
<?php class sqlsafe {   private $getfilter = "'|(and|or)\\b. ?(>|<|=|in|like)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   public function __construct() {     foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}     foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}     foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}   }   public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){     if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);     if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){       $this->writeslog($_SERVER["REMOTE_ADDR"]."    ".strftime("%Y-%m-%d %H:%M:%S")."    ".$_SERVER["PHP_SELF"]."    ".$_SERVER["REQUEST_METHOD"]."    ".$StrFiltKey."    ".$StrFiltValue);       showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);     }   }   public function writeslog($log){     $log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';     $ts = fopen($log_path,"a ");     fputs($ts,$log."\r\n");     fclose($ts);   } }本类库首先构造函数参数,然后检查并写日志最后检查SQL注入日志。是一个很好用的SQL注入php类库
php注入函数
若水印象博客
03-05 1325
1、 PHP注入的基本原理 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统 //注入 functi
php止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 781
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
PHP简单注入
risingsun001的专栏
05-18 548
index.php 加上以下内容,免注入。 foreach (array("'", '%27', '"', '%22', '(', '%28', '*', '%2A', '.php', '.js', '.css', '.png', '.jpg', '.gif', '.txt', '.ico', '.ini', '.ssh', '.svn', '.log') as $k1 => $v1) if(fa
php注入函数,php注入函数代码
weixin_42322219的博客
03-22 144
php注入函数代码 在做php程序的时候,大家都比较重视网安全这块,那么在php中是如何注入的呢? php本身自带的一个函数addslaches() 这个函数功能有点弱,不能让人太放心 现在和大家分享一个简单的方法: 新建一个文件保存为checkpostandget.php 然后在php注入函数代码在做php程序的时候,大家都比较重视网安全这块,那么在php中是如何注入的呢?php本身...
PHP 注入之自定义函数
weixin_44936767的博客
12-03 122
<?php /** * 注入 */ function hyxSQL_v2($array) { global $conn; if (is_array($array)) { foreach ($array as $k => $v) { if ($k != "content") { $array[$k] = hyxSQL_v2($v); } else {
php什么函数可以注入,PHP注入函数
weixin_39793098的博客
03-19 78
这篇文章主要为大家详细介绍了PHP注入函数,具有一定的参考价值,可以用来参考一下。经测试代码如下:/*** 代码来自www.512pic.com ***///************** 注入函数function inject_check($sql_str) {$check=eregi('and|or|where|limit|group by|select|insert|update|de...
php注入工具的函数,PHP的一些注入函数
weixin_34207865的博客
03-10 292
PHP的一些注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
php 禁止用注入函数,PHP注入函数代码总结_PHP教程
weixin_35662493的博客
03-21 405
/*函数名称:post_check()函数作用:对提交的编辑内容进行处理参  数:$post: 要提交的内容返 回 值:$post: 返回过滤后的内容*/function post_check($post) {if (! get_magic_quotes_gpc ()) { // 判断magic_quotes_gpc是否为打开$post = addslashes ( $post ); // 进行m...
PHP注入原理与安全护教程
PHP注入的基本原理是编程中常见的安全问题,它发生在将用户输入的数据未经充分验证或过滤直接插入到SQL查询中,可能导致恶意数据注入,破坏数据库结构,窃取敏感信息。理解PHP注入原理有助于开发人员编写更安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值