php防注入安全代码,PHP 防注入安全实现程序代码

最新推荐文章于 2024-04-12 17:03:13 发布
最新推荐文章于 2024-04-12 17:03:13 发布
阅读量215 收藏
点赞数
文章标签: php防注入安全代码

SQL注入 数据过滤 函数 安全 PHP
关键词由CSDN通过智能技术生成

/*

函数名称:inject_check()

函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全

参  数:$sql_str: 提交的变量

返 回 值:返回检测结果,ture or false

函数作者:heiyeluren

*/

function inject_check($sql_str) {

return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str);    // 进行过滤

}

/*

函数名称:verify_id()

函数作用:校验提交的ID类值是否合法

参  数:$id: 提交的ID值

返 回 值:返回处理后的ID

函数作者:heiyeluren

*/

function verify_id($id=null) {

if (!$id) { exit('没有提交参数!'); }    // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法!'); }    // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法!'); }    // 数字判断

$id = intval($id);    // 整型化

return  $id;

}

/*

函数名称:str_check()

函数作用:对提交的字符串进行过滤

参  数:$var: 要处理的字符串

返 回 值:返回过滤后的字符串

函数作者:heiyeluren

*/

function str_check( $str ) {

if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否打开

$str = addslashes($str);    // 进行过滤

}

$str = str_replace("_", "_", $str);    // 把 '_'过滤掉

$str = str_replace("%", "%", $str);    // 把 '%'过滤掉

return $str;

}

/*

函数名称:post_check()

函数作用:对提交的编辑内容进行处理

参  数:$post: 要提交的内容

返 回 值:$post: 返回过滤后的内容

函数作者:heiyeluren

*/

function post_check($post) {

if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否为打开

$post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

}

$post = str_replace("_", "_", $post);    // 把 '_'过滤掉

$post = str_replace("%", "%", $post);    // 把 '%'过滤掉

$post = nl2br($post);    // 回车转换

$post = htmlspecialchars($post);    // html标记转换

return $post;

}

foreach ($_POST as $post_key=>$post_var)

{

if (is_numeric($post_var)) {

$post[strtolower($post_key)] = get_int($post_var);

} else {

$post[strtolower($post_key)] = get_str($post_var);

}

}

/* 过滤函数 */

//整型过滤函数

function get_int($number)

{

return intval($number);

}

//字符串型过滤函数

function get_str($string)

{

if (!get_magic_quotes_gpc()) {

return addslashes($string);

}

return $string;

}

?>

在有些cms中我会看到

foreach($HTTP_POST_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

foreach($HTTP_GET_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

寂寞的章鱼先生
关注
PHP注入安全代码
10-30
以下将详细介绍如何通过PHP编写安全代码止SQL注入。 首先,我们可以看到一个简单的示例,它定义了一个`FunStringExist`函数来检查传递的变量中是否存在非法字符。这些非法字符通常包括单引号(')、分号(;)和...
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 3093
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes止SQL注入,还是建议大家加强中文止SQL注入的检查。
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2499
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 818
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
php注入安全代码,PHP注入安全代码
weixin_39613089的博客
03-12 155
PHP注入安全代码PHP#注入2012-12-21 15:43怕网站被注入的朋友们看过来了,今天分享个代码。1.将safe.func.php传到要包含的文件的目录2.在页面中加入护,有两种做法,根据情况二选一即可:a).在所需要护的页面加入代码require_once('safe.func.php');就可以做到页面注入、跨站如果想整站注,就在网站的一个公用文件中,如数据库链接文件co...
php 代码注入,在PHP中,如何代码注入攻击?
weixin_42568801的博客
03-10 477
PHP中有这么多函数,我对这些函数的使用感到很混乱。有人使用:htmlspecialchars(),htmlentities(),strip_tags()等哪一个是正确的,大家通常使用什么呢?下面这行应该是正确的(如果有更好的请给我建议):$var = mysql_real_escape_string(htmlentities($_POST['username']));这一行可以止MySQL注入...
sql注入原理及php注入代码.doc
12-02
//PHP整站注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if(@get_magic_quotes_gpc()){ $_GET = sec($_GET); $_POST = sec($_POST); $_COOKIE = sec($_COOKIE); $_FILES = sec($_...
360提供的phpsql注入代码修改类
05-02
PHP作为广泛应用的服务器端脚本语言,其代码安全至关重要。本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意...
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
PHP简单有效止sql注入方法
最新发布
qq_29203949的博客
04-12 834
开发中如何止sql注入攻击
SQL注入php代码
08-24
SQL注入php,通用注入
php通用注入类.zip
07-11
php通用注入
php注入代码
10-12
1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
PHP通用注入安全代码-修改可用
05-15
PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用
一段困扰许久的注入代码
热门推荐
12-18 4万+
有段时间一直热衷于研究各种waf绕过,一般来说,云WAF可以通过找到网站真实IP来绕过,硬件waf也常因为HTTP协议解析差异导致绕过,但是,代码层的护往往只能从代码逻辑里寻找绕过思路...
PHP止 SQL 注入
weixin_50251467的博客
07-21 622
我们可以将预处理语句与 PDO 一起使用,以止在 PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以止在 PHP 中进行 SQL 注入
ThinkPHP如何止SQL注入攻击
一个努力不被优化的程序员
04-02 1147
需要注意的是,以上方法只是一些基本的止SQL注入攻击的手段,为了进一步提高安全性,开发者还应该对用户输入进行严格的过滤和验证,以确保输入的数据符合预期的格式和范围。Query对象会自动对用户输入的数据进行预处理,确保输入的数据不会被解析为可执行的SQL语句。1. 使用Query对象的参数绑定功能,将用户输入的数据作为参数传递给SQL查询语句。2. 使用Query对象的预处理功能,将用户输入的数据作为预处理的参数。3. 使用Query对象的参数绑定和预处理功能的组合,以提高安全性。
PHP注入代码
kevin
12-06 611
以下是注入代码,具体什么是注入可以参考该PDF文档,点击下载PHP+MYSQL注入专题 ,推荐PDF阅读器下载。 /************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能: 注入 *************************/ //要过滤的非法字符 $ArrFiltrate=array("'",
php应对sql注入数据库处理
aicsswo的博客
03-07 868
PHP止SQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
PHP注入护策略与安全设置
在Web开发中,PHP注入是一种常见的安全威胁,它允许攻击者通过输入恶意代码来操纵或控制服务器上的PHP应用程序。本文档主要关注PHP注入安全规范,提供了一些范措施。 PHP注入通常是由于不当的数据处理导致的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值