php在安全方面的作用,php-最终的清理/安全功能

最新推荐文章于 2024-02-09 22:30:46 发布
最新推荐文章于 2024-02-09 22:30:46 发布
阅读量88 收藏
点赞数
文章标签: php在安全方面的作用

php-最终的清理/安全功能

我从$_GET和$_GET['blabla']有很多用户输入...目前,我总是写$_POST['haha']。

我想知道您是否可以创建一个功能来立即保护,转义和清理$_GET['blabla']/$_POST['haha']数组,因此您不必每次使用用户输入时都进行处理。

我正在考虑一个函数,例如$_GET['blabla'],并且在它内部应该执行$_POST['haha']、htmlspecialchars、strip_tags、stripslashes(我想这是为了使其干净和安全),然后返回$input。

那有可能吗? 制作一个适用于所有$_GET['blabla']和$_POST['haha']的函数,因此您只需要这样做:

$_GET = cleanMe($_GET);

$_POST = cleanMe($_POST);

因此,在以后的代码中,当您使用$_GET['blabla']或$_POST['haha']时,它们是否被固定,剥离等?

试了一下自己:

function cleanMe($input) {

$input = mysql_real_escape_string($input);

$input = htmlspecialchars($input, ENT_IGNORE, 'utf-8');

$input = strip_tags($input);

$input = stripslashes($input);

return $input;

}

7个解决方案

126 votes

通用卫生功能的概念是一个破损的概念。

每种目的都有一种正确的卫生方法。 在字符串上不加选择地运行它们通常会破坏它-为SQL查询转义一段HTML代码会破坏它在网页中的使用,反之亦然。 在使用数据之前,应立即进行卫生处理:

在运行数据库查询之前。 正确的卫生方法取决于您所使用的图书馆。 我如何防止PHP中的SQL注入中列出了它们?

escapeshellarg()用于安全的HTML输出

escapeshellarg()用于正则表达式

escapeshellarg()/escapeshellcmd()用于外部命令

等等等

使用“一刀切”的卫生功能就像在植物上使用五种剧毒杀虫剂一样,根据定义,这些杀虫剂只能含有一种虫子-只是发现您的植物受到了第六种虫子的侵扰,而第六种却没有 的杀虫剂起作用。

始终使用一种正确的方法,最好是直接使用,然后再将数据传递给函数。 除非需要,否则不要混合使用方法。

Pekka 웃 answered 2019-11-03T20:44:32Z

7 votes

仅通过所有这些功能传递输入是没有意义的。 所有这些功能具有不同的含义。 通过调用更多的转义函数,数据不会变得“干净”。

如果要在MySQL中存储用户输入,则只需要使用&016。然后将其完全转义以安全地存储在数据库中。

编辑

还请注意使用其他功能时出现的问题。 例如,如果客户端向服务器发送用户名,并且该用户名包含“&”号(&),则您不希望在将其存储在数据库中之前调用&017,因为这样数据库中的用户名将包含&。

Tomas answered 2019-11-03T20:45:13Z

6 votes

您正在寻找filter_input_array()。但是,我建议仅将其用于业务样式的验证/清除,而不是SQL输入过滤。

为了防止SQL注入,请对mysqli或PDO使用参数化查询。

Alan Pearce answered 2019-11-03T20:45:46Z

3 votes

问题是,某种用途的清洁或安全性不会用于另一种用途:清洁路径的一部分,mysql查询的一部分,html输出(例如html,javascript或输入值)中的内容, 对于xml可能需要不同的东西,这是矛盾的。

但是,可以做一些全局性的事情。尝试使用filter_input获取用户的输入。 并对SQL查询使用准备好的语句。

尽管您可以创建一些类来管理输入,而不是执行全部操作。 像这样:

class inputManager{

static function toHTML($field){

$data = filter_input(INPUT_GET, $field, FILTER_SANITIZE_SPECIAL_CHARS);

return $data;

}

static function toSQL($field, $dbType = 'mysql'){

$data = filter_input(INPUT_GET, $field);

if($dbType == 'mysql'){

return mysql_real_escape_string($data);

}

}

}

有了这种事情,如果您在代码中看到任何$ _POST,$ GET,$ _ REQUEST或$ _COOKIE,就知道必须进行更改。 而且,如果有一天您必须更改对输入内容的过滤方式,只需更改您制作的课程即可。

Arkh answered 2019-11-03T20:46:32Z

1 votes

如果您使用的是apache并具有对服务器的完全访问权限,我可以建议安装“ mod_security”吗?

它确实解决了我的大多数问题。 但是,不要只依靠一种或两种解决方案,总要编写安全的代码;)

更新找到了这个PHP IDS([http://php-ids.org/);]看起来不错:)

Filipe YaBa Polido answered 2019-11-03T20:47:10Z

0 votes

function sanitizeString($var)

{

$var = stripslashes($var);

$var = strip_tags($var);

$var = htmlentities($var);

return $var;

}

function sanitizeMySQL($connection, $var)

{

$var = $connection->real_escape_string($var);

$var = sanitizeString($var);

return $var;

}

?>

vuchkov answered 2019-11-03T20:47:30Z

-1 votes

我用那个传递数组或get,post

function cleanme(&$array)

{

if (isset($array))

{

foreach ($array as $key => $value)

{

if (is_array($array[$key]))

{

secure_array($array[$key]);

}

else

{

$array[$key] = strip_tags(mysql_real_escape_string(trim($array[$key])));

}

}

}

}

用法:

cleanme($_GET);

cleanme($_POST);

user889030 answered 2019-11-03T20:47:57Z

冲就完事儿啦
关注
基于Docker官方php:5.6.40-fpm镜像构建支持66个常见模组的php5.6.40镜像
归零者
01-08 1671
实践说明:基于RHEL7(CentOS7.9)部署docker环境(23.0.1、24.0.2),所构建的php5.6.40镜像应用于RHEL7-9(如AlmaLinux9.1),但因为docker的特性,适用场景是不限于此的。 文档形成时期:2017-2023年 因系统或软件版本不同,构建部署可能略有差异,但本文未做细分,对稍有经验者应不存在明显障碍。
php 线程安全安全 区别,PHP的线程安全与非线程安全
weixin_39541869的博客
03-25 668
PHP初期,是作为单进程的CGI来运行的,所以并没有考虑线程安全问题。我们可以随意的在全局作用域中设置变量并在程序中对他进行修改、访问,内核申请的资源如果没有正确的释放,也会在CGI进程结束后自动地被清理干净。后来,php被作为apache多进程模式下的一个模块运行,但是这仍然把php局限在一个进程里,我们设置的全局变量,只要在每个请求之前将其正确的初始化,并在每个请求之后正确的清理干净,便不会...
PHP 安全漏洞:会话劫持、跨站点脚本、SQL 注入以及如何修复它们
allway2的博客
08-01 1509
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网站易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
数据库:mysql_connect自 PHP 5.5.0 起已废弃
weixin_43731793的博客
09-12 744
mysql_connect (PHP 4, PHP 5) mysql_connect — 打开一个到 MySQL 服务器的连接 Warning 本扩展自 PHP 5.5.0 起已废弃,并在自 PHP 7.0.0 开始被移除。应使用 MySQLi 或 PDO_MySQL 扩展来替换之。参见 MySQL:选择 API 指南以及相关 FAQ 来获取更多信息。用以替代本函数的有: mysqli_conne...
php注入代码,解决wordpress被注入代码
weixin_36365795的博客
04-12 403
前段时间,我想给我的网站统计修改一下,发现里面的代码全是 eval(base ….等被注入的代码。凡是php代码都被注入,我没当回事就直接下载了新版本的wordpress覆盖。昨天,我一朋友的服务器上面的代码也出现这类情况,他上面的代码比较多,所以得批量修改过来。研究了linux上面的常用的命令,一行命令就可以解决此问题,linux是如此神奇。find /var/www/html -name '*...
怎么清理php注入,PHP注入攻击 – 如何最好地清理混乱?
weixin_42400970的博客
04-01 123
有一段时间,我的共享托管环境受到威胁,因为我没有保持我安装的应用程序的投资组合.上周,这是因为一个旧的和未使用的安装了一个名为Help Center Live的PHP应用程序.结果是,服务器上的每一个PHP文件(并且我有几个Wordpresses,Joomlas,SilverStripe安装)都添加了代码,从其他站点拉出隐藏的链接,并将它们包含在我的页面中.其他人在这种攻击之后报告他们的网站被禁止...
脚本注入PHP,PHP的防御XSS注入的终极解决方案【信息安全】【Hack】
weixin_32529429的博客
03-19 415
方法一,利用php htmlentities函数php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义。...
宝塔 error: /www/server/php/80/lib/php/extensions/no-debug-non-zts-20200930/
12-29
宝塔面板出现的错误信息表明在PHP的扩展文件夹中没有找到指定的组件。通常这种情况发生可能有以下几个原因: 一是PHP扩展没有正确安装,可能是安装过程中出现了错误或者未完全安装导致缺少相应文件; 二是扩展文件...
TIPI:深入理解PHP内核-PHP内核程序详解chm文档
04-08
此外,还有对内存分配、循环引用处理等方面的优化。 通过深入学习《TIPI:深入理解PHP内核》,开发者不仅能了解PHP的工作原理,还能掌握优化代码、调试问题和开发扩展的技巧,从而提升编写高效、可靠的PHP应用程序...
MacOS10.15编译安装PHP详细手册
gunnery的专栏
12-07 1432
这篇文章更多是提醒自己,同时希望对遇到类似问题的人有所帮助。文中基本上把我遇到的问题都罗列出来了,但前后次序各有不同。我是在执行phpize的时候发现的问题,所以先解决MacOS10.15的SIP和根目录写权限的问题,然后再重新编译PHP,安装apache。这篇文章没有解决编译覆盖MacOS内置PHP的问题,我应该会另外写一篇文章解专门说明如何操作。 一、安装phpize的依赖库 执行 php...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。 mysql_real_escape_string防sql注入攻击 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 在有些时候需要将mysql_real_escape_stri
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入
热门推荐
时光隧道
02-09 8万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
PHP 去除XSS攻击的注入代码
qq_39004843的博客
03-26 333
//去除输入的XSS攻击代码 function RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script&g...
注入php文件怎么查看,PHP-如何清理注入代码的php文件
weixin_39677419的博客
03-13 107
给你一个清理的perl脚本,很好用的:#!/usr/bin/perluse File::Find;sub clean_file {my $file = shift;my $tmp = $file.".tmp";print "clean file $file ...n";open(FILE, $file) or die "can not open $filen";open(TMP, ">$tm...
mysql_real_escape_string和addslashes区别
resilient的博客
08-04 931
mysql_real_escape_string(); addslashes(); 1 2 以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。注意: mysql_real_esca...
VB程序实例-运用Mschat图表显示数据(方法二).zip
11-03
VB程序实例-运用Mschat图表显示数据(方法二).zip
VB程序实例-改变Windows图标大小.zip
11-03
VB程序实例,可供参考学习使用,希望对你有所帮助
技术资料分享ZigBee协议栈的研究与实现非常好的技术资料.zip
11-03
技术资料分享ZigBee协议栈的研究与实现非常好的技术资料.zip
pytz-2016.10-py3.1.egg
最新发布
11-03
pytz库的主要功能 时区转换:pytz库允许用户将时间从一个时区转换到另一个时区,这对于处理跨国业务或需要处理多地时间的数据分析尤为重要。 历史时区数据支持:pytz库不仅提供了当前的时区数据,还包含了历史上不同时期的时区信息,这使得它在处理历史数据时具有无与伦比的优势。 夏令时处理:pytz库能够自动处理夏令时的变化,当获取某个时区的时间时,它会自动考虑是否处于夏令时期间。 与datetime模块集成:pytz库可以与Python标准库中的datetime模块一起使用,以确保在涉及不同时区的场景中时间的准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值