php登录框注入,分享一个php的防火墙,拦截SQL注入和xss

最新推荐文章于 2022-12-04 20:29:56 发布
最新推荐文章于 2022-12-04 20:29:56 发布
阅读量185 收藏
点赞数
文章标签: php登录框注入

这个是一个一个基于php的防火墙程序,拦截sql注入和xss攻击,无需服务器支持

f45a411ee71076c296e7d5c17f7a7887.png

安装

composer require xielei/waf

使用说明

$waf = new \Xielei\Waf\Waf();

$waf->run();

自定义拦截规则

$rules = [

'\.\./', //禁用包含 ../ 的参数

'\

'\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入

'select([\s\S]*?)(from|limit)', //防止sql注入

'(?:(union([\s\S]*?)select))', //防止sql注入

'having|updatexml|extractvalue', //防止sql注入

'sleep\((\s*)(\d*)(\s*)\)', //防止sql盲注

'benchmark\((.*)\,(.*)\)', //防止sql盲注

'base64_decode\(', //防止sql变种注入

'(?:from\W+information_schema\W)', //防止sql注入

'(?:(?:current_)user|database|schema|connection_id)\s*\(', //防止sql注入

'(?:etc\/\W*passwd)', //防止窥探linux用户信息

'into(\s+)+(?:dump|out)file\s*', //禁用mysql导出函数

'group\s+by.+\(', //防止sql注入

'(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(', //禁用webshell相关某些函数

'(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/', //防止一些协议攻击

'\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[', //禁用一些内置变量,建议自行修改

'\

'(onmouseover|onerror|onload|onclick)\=', //防止xss事件植入

'\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)', //防止执行shell

'\s*and\s+.*=.*' //匹配 and 1=1

];

$waf = new \Xielei\Waf($rules);

$waf->run();

自定义拦截页面

$waf = new \Xielei\Waf\Waf();

if(!$waf->check()){

echo '非法请求';

die;

}

开源地址

刀疤连
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
分享一个php防火墙拦截SQL注入xss
hetangyuese321的博客
09-22 547
这个是一个一个基于php防火墙程序,拦截sql注入xss攻击,无需服务器支持 安装 composer require xielei/waf 使用说明 $waf = new \Xielei\Waf\Waf(); $waf->run(); 自定义拦截规则 $rules = [ '\.\./', //禁用包含 ../ 的参数 '\<\?', //禁止php脚本出现 '\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入 'select([
登录注入笔记
weixin_34233421的博客
11-28 362
2019独角兽企业重金招聘Python工程师标准>>> ...
POST登陆框注入
security.blog.cndn.net
03-07 479
1.burpsuite + sqlmap 利用burpsuite抓包保存为txt,利用sqlmap指定文本注入(此方法本人未实战过,是很普遍的方法,详情请自行百度) 注入点:http://www.xx.com/Login.asp sqlmap.py -r test.txt -p Password 2.自动注册表单,截取数据。(直接在后面加[–forms]) sqlmap -u “http://ww...
PHPXSS攻击和SQL注入
qq_26486949的博客
08-02 218
function SafeFilter (&$arr){ $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/','/a...
sql注入xss攻击, springmv拦截
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
10-19
主要介绍了PHP实现表单提交数据的验证处理功能,可实现防SQL注入XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
PHPSQL注入XSS攻击
郎涯技术
11-21 3679
就是通过把SQL命令、JS脚本等插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,等价于 select * from users where usernam...
mysql 登录注入_sqlmap之(六)----POST登陆框注入实战
weixin_30698775的博客
01-19 643
利用sqlmap进行POST注入,常见的有三种方法:注入方式一:1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下2.列数据库:sqlmap.py-r"c:\Users\fendo\Desktop\post.txt"-pn--dbs注:-r表示加载一个文件,-p指定参数其中出现了三次提示:it looks like the back-end D...
mysql防止xss攻击_php防止SQL注入攻击与XSS攻击的方法
weixin_39991926的博客
01-28 196
php防止SQL注入攻击与XSS攻击的方法在php中防止SQL注入攻击与XSS攻击的二个简单方法,感兴趣的朋友可以参考下,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!本节内容:SQL注入攻击与XSS攻击的防范方法在php编程中,所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss。注意,中文要写出...
mysql 登录注入_登陆界面的SQL注入
weixin_42245967的博客
02-18 2653
首先登陆的sql通常分为两种类型1234567(1)先匹配username(注册时也类似这种方法验重)$query = mysql_query("SELECT * FROM interest WHERE uname = '{$_POST['uname']}");$key = mysql_fetch_array($query);if($key['pwd'] == $_POST['pwd']) {.....
HTB_Appointment 靶机之登录框万能密码、sqlmap post 注入
网络安全学习
04-22 3757
⚔ 🧱 YOU NEED TO WALK BEFORE YOU CAN RUN 🧱⚔ 文章目录先放答案万能密码注入sqlmap post 注入测试是否存在注入查数据库查表查列查数据 先放答案 因为这期问题都比较简单,简单到我想不到讲什么把它们串到一起,索性就直接放答案了 Structured Query Language SQL Injection personally identifiable information A03:2021-Injection Apache httpd 2.4.38 ((.
DC-1 登录框的sql注入
a_153161的博客
12-04 1102
DC-1登录框的报错注入
登陆框post注入教程
weixin_33861800的博客
11-28 330
2019独角兽企业重金招聘Python工程师标准>>> ...
SQLMAP渗透笔记之POST登陆框注入
Birdman-one的博客
12-26 2180
氷刀's Blog ---------------------------------------------------------------------------------------------                 SQLMAP渗透笔记之POST登陆框注入                            ------------
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入
weixin_39852491的博客
02-18 254
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSSsql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...
后台登陆框post注入
0ffs3t
01-02 2230
作者:knife 目录 0×00 踩点 0×01 寻找漏洞 0×02 利用漏洞 0×03 完结 0×00 踩点 再一次授权情况下 ,本人对骚狐 旗下某个站点发起了一次 友情的渗透 在不知道任何信息的情况下,本人先对骚狐的一些基本服务器信息做了了解 情况如下 服务器是:unix 系统 web版本:nginx/0.7.69 ip:xxx.xxx.
php防止sql注入xss攻击
最新发布
06-01
要防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值