网站初始化之安全

最新推荐文章于 2024-07-09 23:56:48 发布
最新推荐文章于 2024-07-09 23:56:48 发布
阅读量78 收藏
点赞数
文章标签: python php
原文链接:https://my.oschina.net/osmyblog/blog/313606
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

安全初始化之安全

我们需要在程序初始化的时候做以下工作

防止SQl注入

    a.使用addslashes()函数来递归过滤$_GET,$_POST,$_REQUEST,$_COOKIE变量

function _RunMagicQuotes(&$svar)
{
    if(!get_magic_quotes_gpc())
    {
    //svar有可能是一个数组,也有可能是个字符串,如果是数组需要变量,然后在进行递归
        if( is_array($svar) )
        {
            foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
        }
        else
        {
            if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
            {
              exit('Request var not allow!');
            }
            $svar = addslashes($svar);
        }
    }
    return $svar;
}

    b.使用GET来接受数据的时候,需要对其进行一次转义

(int)$_GET['content'];

Xss跨站脚本攻击(Cross Site Scripting)

if ( ! function_exists('RemoveXSS'))
{
    function RemoveXSS($val) {
       $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
       $search = 'abcdefghijklmnopqrstuvwxyz';
       $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
       $search .= '1234567890!@#$%^&*()';
       $search .= '~`";:?+/={}[]-_|\'\\';
       for ($i = 0; $i < strlen($search); $i++) {
          $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
          $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
       }

       $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
       $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
       $ra = array_merge($ra1, $ra2);

       $found = true; 
       while ($found == true) {
          $val_before = $val;
          for ($i = 0; $i < sizeof($ra); $i++) {
             $pattern = '/';
             for ($j = 0; $j < strlen($ra[$i]); $j++) {
                if ($j > 0) {
                   $pattern .= '(';
                   $pattern .= '(&#[xX]0{0,8}([9ab]);)';
                   $pattern .= '|';
                   $pattern .= '|(&#0{0,8}([9|10|13]);)';
                   $pattern .= ')*';
                }
                $pattern .= $ra[$i][$j];
             }
             $pattern .= '/i';
             $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2);
             $val = preg_replace($pattern, $replacement, $val); 
             if ($val_before == $val) {
                $found = false;
             }
          }
       }
       return $val;
    }
}

PHP自带有函数可以去除html标签以及script标签

htmlspecialchars($val) 过滤掉所有的标签

倘若内容是通过在线编辑器提交的,则应该使用RemoveXss($val)

服务器安全(基本与程序无关)

转载于:https://my.oschina.net/osmyblog/blog/313606

weixin_34163741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eclipse数据库初始化步骤
08-26
本篇将详细介绍如何在Eclipse中进行数据库初始化,包括连接数据库、导入必要的JAR文件以及处理SSL连接问题。 首先,确保你已经拥有Java代码,并准备连接到在线考试网站的数据库。为了实现这一目标,你需要以下步骤...
node 初始化项目.zip
01-15
软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备...
Java的安全初始化
ba12346的专栏
02-28 1269
安全的发布 错误的延迟初始化将导致不正确的发布,如下面的程序所示。初看起来,在程序中存在的问题只有竞态条件问题。在某些特定条件下,例如当Resource的所有实例都相同时,你或许会忽略这些问题(以及在多次创建Resource实例时存在的低效率问题)。然而,即使不考虑这些问题,UnsafeLazyInitialization仍然是不安全的,因为另一个线程可能看到对部分构造的Resource实例的
java安全初始化_Java的安全初始化
weixin_31281003的博客
03-08 197
安全的发布错误的延迟初始化将导致不正确的发布,如下面的程序所示。初看起来,在程序中存在的问题只有竞态条件问题。在某些特定条件下,例如当Resource的所有实例都相同时,你或许会忽略这些问题(以及在多次创建Resource实例时存在的低效率问题)。然而,即使不考虑这些问题,UnsafeLazyInitialization仍然是不安全的,因为另一个线程可能看到对部分构造的Resource实例的引用...
服务器之--初始化
java_xhh的博客
03-14 3253
1.买服务器 2.finalshell连接服务器 Windows版下载地址: http://www.hostbuf.com/downloads/finalshell_install.exe 3.初始化 yum update 4.安装java环境 yum install java-1.8.0-openjdk* -y 5.创建一个目录 mkdir -p /www/web cd /www/web 6.上传jar包,守护方式启动 nohup java -jar xxx.jar --server.port=80
服务器信息未初始化失败怎么办,初始化服务器失败
weixin_30660429的博客
08-06 1444
初始化服务器失败 内容精选换一换云服务器新增磁盘,开机自动执行磁盘初始化脚本后,Oralce、MySQL和SQL Server等数据库系统日志Msg 823错误 。磁盘初始化脚本WinVMDataDiskAutoInitialize.ps1执行过程中会调用diskpart启用virtual disk服务,执行完毕后会退出diskpart,停用virtual disk服务华为云帮助中心,为用户提供产...
hexo博客2:初始化
定期分享我的发现和想法,感谢你的陪伴和支持
05-20 5646
hexo博客2:初始化一、初始化二、生成静态网页三、报错解决3.1 报错一3.2 报错二四、版本1.0页面展示 由于已经有hexo博客了,因此初始化博客部分直接复制的之前笔记。 一、初始化 输入hexo init初始化文件夹 hexo init Blog 这是因为服务器的SSL证书没有经过第三方机构的签署,所以才报错 解决办法: git config --global http.sslVerify "false" 输入npm install安装必备的组件。 cd MyBlog //进入这个
网络安全最典型基础靶场-DVWA-本地搭建与初始化
Welcome To Myon'Blog !
02-16 1404
因为在装小皮面板前我自身电脑还装了一个 mysql 数据库,因此 3306 端口已经被占用,所以配置端口才变成了 3305。一般来说按照上述步骤修改数据库的用户名和密码与 phpstudy 一致并且添加了 key 就能成功的。访问本地回环地址加上我们刚才命名的文件夹名,即 127.0.0.1/dvwa。由于我们是在本地搭建,则需要基于你已经装好 phpstudy(小皮面板)。之前也打过这个 DVWA 靶场,但是是在虚拟机环境下的一个小块分区靶场;后续会给大家更新各个漏洞的通关教程,期待大家的关注与支持!
Win11初始化系统遇一文解决
湫喃
03-20 1837
主要用于记录WIn 11 安装系统的一些问题
CentOS 7安装MySQL及初始化操作教程
欢迎来到“Python算法探索”,我是GT算法工程师,一名热爱计算机算法的博主。在这里,我们将一起深入探索Python世界中的各种算法,从基础到高级,从理论到实践。我参加过很多算法比赛,积累了丰富的经验,希望通过这个播客与你分享。让我们一起用Python探
03-10 900
本文详细介绍了CentOS 7安装MySQL及初始化操作的步骤。
腾讯X5 初始化失败
TomCat0916的博客
05-14 2940
腾讯X5 初始化失败 项目配置 compileSdkVersion 28 minSdkVersion 15 targetSdkVersion 28 原因未知 解决方法 使用<uses-permission android:name="android.permission.REAL_GET_TASKS" /> 替代 <uses-permission android:na...
网站安全隔离-RBI技术
wangtd的博客
09-28 4541
有了远程浏览器隔离(RBI)技术之后,IT管理员可以采用更开放的互联网策略,让用户工作更便捷。即使用户访问了一些危险 Web内容,也不会影响到用户设备和企业网络。举个形象的例子,远程浏览器隔离(RBI)技术就像遥控的拆弹机器人。让机器人打开可疑包裹,即使包裹爆炸,也不会伤害到远处的真人。简言之,远程浏览器隔离(RBI)技术的价值就是——不让好的内容流出去,不让坏的内容流进来。
系统初始化设置及安全策略.pdf
11-06
【系统初始化设置与安全策略】 系统初始化设置是确保新安装的Windows系统安全稳定运行的关键步骤。这涉及到一系列的配置调整,旨在增强系统安全性,防止病毒和恶意软件的侵入,以及优化系统的性能。以下是一些重要...
e-STUDIO2010AC•2520AC安装及初始化步骤
04-14
**东芝e-STUDIO2010AC•2520AC安装及初始化步骤详解** 在企业办公环境中,高效的文档处理设备是必不可少的。东芝e-STUDIO2010AC与e-STUDIO2520AC是两款功能强大的多功能一体机,集打印、复印、扫描和传真功能于一体...
Python基于django的旅游网站源代码+数据库初始化脚本
05-08
7. 数据库初始化脚本:在项目中,数据库初始化脚本通常用于创建初始的数据库结构,填充测试数据或者执行数据迁移。这可能是通过Django的`manage.py`命令行工具,使用`makemigrations`和`migrate`来完成的。 8. 餐饮...
Java基础:爬虫
weixin_65752158的博客
07-04 1031
Pattern:表示正则表达式Matcher:文本匹配器,作用按照正则表达式的规则去读取字符串,从头开始读取。在大串中去找符合匹配规则的子串。通过Pattern p = Pattern.compile("正则表达式");获得 通过Matcher m = p.matcher(str);获得 (m要在str中找符合p规则的小串)其中, m为Matcher对象, p为正则表达式规则, str为要验证的字符串. boolean b = m.find(); 表示拿着文本匹配器从头开始读取,寻找是否有
基数排序算法Python实现
最新发布
PeterClerk的博客
07-09 241
基数排序算法实现
leetcode--验证二叉搜索树
liulanba的博客
07-09 194
给你一个二叉树的根节点 root ,判断其是否是一个有效的二叉搜索树。有效 二叉搜索树定义如下:节点的左子树只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必须也是二叉搜索树。示例 1:输入:root = [2,1,3]输出:true示例 2:输入:root = [5,1,4,null,null,3,6]输出:false解释:根节点的值是 5 ,但是右子节点的值是 4。提示:树中节点数目范围在[1, 104] 内。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 1290
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
mongodb初始化
03-27
MongoDB的初始化是指在开始使用MongoDB之前进行一些必要的设置和配置。下面是MongoDB初始化的一般步骤: 1. 安装MongoDB:首先需要下载并安装MongoDB数据库。你可以从MongoDB官方网站上下载适合你操作系统的安装包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值