PHP防SQL注入,防挂马、防跨站攻击

最新推荐文章于 2022-01-13 15:32:23 发布
最新推荐文章于 2022-01-13 15:32:23 发布
阅读量265 收藏
点赞数
文章标签: php python 数据库
原文链接:https://my.oschina.net/pureboys/blog/172915
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

SQL注入攻击,是攻击者在表单或地址栏中提交精心构造的sql语句,改动原来的sql语句,如果程序没有对提交的数据经过严格检查,那么就会造成sql注入攻击。
    SQL注入因为要操作数据库,所以一般会查找SQL语句关键字:insert、delete、update、select,查看传递的变量参数是否用户可控制,有无做过安全处理。

    防止SQL注入攻击的一些函数: 

/**
+----------------------------------------------------------
* 防挂马、防跨站攻击、防sql注入函数
+----------------------------------------------------------
*$date 传入的参数,要是个变量或者数组;$ignore_magic_quotes变量的魔术引用
+----------------------------------------------------------
*/
function in($data,$ignore_magic_quotes=false)
{
	if(is_string($data))
	{
		$data=trim(htmlspecialchars($data));//防止被挂马,跨站攻击
		if(($ignore_magic_quotes==true)||(!get_magic_quotes_gpc())) 
		{
		   $data = mysql_real_escape_string($data);//防止sql注入
		}
		return  $data;
	}
	else if(is_array($data))//如果是数组采用递归过滤
	{
		foreach($data as $key=>$value)
		{
			 $data[$key]=in($value);
		}
		return $data;
	}
	else 
	{
		return $data;
	}	
}
再帖个函数,防别人留html和iframe的 
function html_in($str)
{
	$search = array ("'<script[^>]*?>.*?</script>'si",  // 去掉 javascript
					 "'<iframe[^>]*?>.*?</iframe>'si", // 去掉iframe
					);
	$replace = array ("",
					  "",
					);			  
   $str=@preg_replace ($search, $replace, $str);
   $str=htmlspecialchars($str);
   	if(!get_magic_quotes_gpc()) 
	{
  	  $str = addslashes($str);
	}
   return $str;
}
discuz的php防止sql注入函数: 
$magic_quotes_gpc = get_magic_quotes_gpc();
@extract(daddslashes($_COOKIE));
@extract(daddslashes($_POST));
@extract(daddslashes($_GET));
if(!$magic_quotes_gpc) {
$_FILES = daddslashes($_FILES);
}
 
 
function daddslashes($string, $force = 0) {
if(!$GLOBALS['magic_quotes_gpc'] || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
return $string;
}

转载于:https://my.oschina.net/pureboys/blog/172915

weixin_34384681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库中的内容字段被挂的替换方法 SQL注入
12-15
SQL注入】是一种常见的网络安全问题,它发生在攻击者通过输入恶意的SQL代码来欺骗数据库服务器,获取、修改、删除敏感信息或控制整个数据库系统。在本文中,我们将讨论如何处理数据库内容字段被挂(即植入恶意...
php 批量替换程序的具体实现代码
12-19
- `get_magic_quotes_gpc()`:检查是否启用了magic quotes,如果启用了,需要先使用`stripslashes()`处理用户输入,因为magic quotes会在用户提交的数据前后自动添加反斜杠,SQL注入等安全问题。 - `in_array...
PHP被挂御战
ve12345的博客
06-03 510
最近把几个PHP的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主机任意硬盘位置,可以说接近在主机上管理文件了,更糟糕的是还可以执行本地程序或命令,管理mysql等等 它怎么隐藏和伪装的? 它一般藏的目...
PHP止木攻击的技巧
钟长森的博客
04-12 752
点击查看详细设置步骤
有效PHP攻击的技巧
南三方---网站设计开发录
06-27 480
有效PHP攻击的技巧 1、止跳出web目录首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:php_admin_value open_basedir /usr/local/apac
php被挂,PHP被挂御战
weixin_42388716的博客
03-12 462
最近把几个PHP的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主最近把几个PHP的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木...
基于Apache PHP Mysql网SQL注入护探讨.pdf
09-19
越来越多的网络访问通过Web界面进行操作,Web安全已经成为互联网安全的一个热点基于Web的攻击广为流行,SQL注入、跨脚本等Web应用层漏洞的存在使得网沦陷、页面篡改、网页挂攻击行为困扰着网管理者并威胁...
phpcms-PHP
06-20
支持PHP7支持HTTPS全面移除Flash(上传、播放器、裁剪等),改由H5实现修复选择上传文件时未按配置的文件格式进行过滤的问题修复模型添加字段时主附表可能错误的问题修复因www.phpcms.cn的DNS异常造成的安装环境检测...
止和修复php被挂木(宝塔)
qq_40194668的博客
01-13 5161
止和修复php被挂木
教你如何反击令人不胜的JS挂(图).php
02-05
教你如何反击令人不胜的JS挂(图).php
PHP中怎样避免SQL注入漏洞和XSS跨脚本攻击漏洞
weixin_41380972的博客
12-29 2032
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂和跳板攻击行为。 SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
PHP.ini方式注或挂
程序猿在武汉
08-01 1062
当要在止页面攻击时,可在页面的头部include攻击文件,就像通用注入文件。我们可以用三种情况来办到:  1、在每个文件内引用。这样的文件是可以,不过如果一个网内有几百个文件的话就不方便了。 2、在共同包含文件内引用一下,比如 config.inc.php。这是一个好办法,也是目前市场上比较流行的做法。 3、在php.ini中引用。在配置文件内引用
php止挂执行exec,患于未然:如何止论坛被挂
weixin_31832681的博客
03-12 274
# ee /usr/local/Zend/etc/php.inictrl+y查找:disable_functions找到后在=后面添加exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,popepassthru,chroot,scandir...
php防挂,PHPSQL注入防挂防跨攻击
weixin_29572661的博客
03-10 109
SQL注入攻击,是攻击者在表单或地址栏中提交精心构造的sql语句,改动原来的sql语句,如果程序没有对提交的数据经过严格检查,那么就会造成sql注入攻击SQL注入因为要操作数据库,所以一般会查找SQL语句关键字:insert、delete、update、select,查看传递的变量参数是否用户可控制,有无做过安全处理。SQL注入攻击的一些函数:/**+--------------------...
php自带的几个sql注入的函数
bai615_2011的专栏
03-26 1068
SQL注入攻击是黑客攻击最常用的手段。如果你的点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击SQL注入攻击通常通过给数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。   为了SQL注入攻击PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes。(php.ini magic
PHPSQL注入与跨攻击
dodomail的专栏
07-27 103
SQL injection即SQL注入是我们每个WEB程序员都需要面对的问题,一个WEB应用假如没有起码的安全性,那么其它的一切就可以免谈了。注入问题在ASP上可谓是闹得沸沸扬扬,当然还有不少PHP程序“遇难”。至于SQL injection的详情,网上的文章很多,在此就不作赘述。追其罪恶之源,就是我们误以为用户提交的数据是可靠的。 无论你是否有足够的PHP安全开发经验,本文的目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值