php防注入安全代码,PHP防注入安全代码

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量132 收藏
点赞数
文章标签: php防注入安全代码

PHP防注入安全代码

PHP

#防注入2012-12-21 15:43

怕网站被注入的朋友们看过来了,今天分享个代码。

1.将safe.func.php传到要包含的文件的目录

2.在页面中加入防护,有两种做法,根据情况二选一即可:

a).在所需要防护的页面加入代码

require_once('safe.func.php');

就可以做到页面防注入、跨站

如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!

添加require_once('safe.func.php');来调用本代码

常用php系统添加文件

PHPCMS V9 phpcmsase.php

PHPWIND8.7 datasql_config.php

DEDECMS5.7 datacommon.inc.php

DiscuzX2   configconfig_global.php

Wordpress   wp-config.php

Metinfo   includehead.php

b).在每个文件最前加上代码

在php.ini中找到:

Automatically add files before or after any PHP document.

auto_prepend_file = safe.func.php路径;

safe.func.php 代码如下:

/**

* 防注入 2012年12月21日 14:04:33 http://yige.org/php/

*

* "
操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue);

*/

function safe_custom_error($errno, $errstr, $errfile, $errline) {

echo "Error number: [$errno],error on line $errline in $errfile
";

die();

}

set_error_handler("safe_custom_error", E_ERROR);

function safe_stop_attack($k, $v, $method=0) {

$filter = array(

"'|(and|or).+?(>|

"(and|or).{1,6}?(=|>|

);

$filter = isset($filter[$method]) ? $filter[$method] : $filter[0];

if(is_array($v)) {

$v = implode($v);

}

if (preg_match("/" . $filter . "/is", $v) == 1) {

exit("本次操作已记录。请不要继续非法操作。");

}

}

if (isset($_GET)) {

foreach($_GET as $k => $v) safe_stop_attack($k, $v, 0);

}

if (isset($_POST)) {

foreach($_POST as $k => $v) safe_stop_attack($k, $v, 1);

}

if (isset($_COOKIE)) {

foreach($_COOKIE as $k => $v) safe_stop_attack($k, $v, 1);

}

相关文章

weixin_39613089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码注入
Marsper的博客
11-09 531
代码注入 原理以及成因 PHP代码执行(注入)(web应用方面,应用脚本在服务器执行)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。 代码执行(注入)类似于SQL注入漏洞,SQLi是将SQL语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤,相当于直接有一个web后门的存在。 原因 1、程序中含有可执行PHP代码的函数或者语言结构。 2、传入第一点中的参数,客户端可控,直接修改或者影响。 漏洞危害 web 应用如果存在代码执行漏洞是一
PHP代码注入PHP代码注入漏洞
cc
03-06 6149
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
PHP常见的SQL注入方法
最新发布
weixin_43741253的博客
09-22 2924
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes止SQL注入,还是建议大家加强中文止SQL注入的检查。
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2445
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHP网站SQL注入攻击源代码,高效、健壮!
耐特007博客
04-02 340
PHP语言应用于WEB站开发,这是一个很好的选择,现在大到电商平台、门户站,小到企业、个人站,使用PHP语言开发也不是什么稀奇的事了,然而,由于开发涉及的环节较多,难免在代码结构的严谨性上有疏忽,例如站点由于漏洞而遭到注入式攻击的危险也时有发生,这就要求程序们得专门写一个专门注入的高效程式来应对。以下,就为大家分享一套简洁、有效的代码,供大家参考。 我们先给这段代码命名为 safeSql.php...
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 780
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
php注入安全代码,PHP 注入安全实现程序代码
weixin_33206743的博客
03-12 199
/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false函数作者:heiyeluren*/function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*...
PHP注入安全代码
10-30
以下将详细介绍如何通过PHP编写安全代码止SQL注入。 首先,我们可以看到一个简单的示例,它定义了一个`FunStringExist`函数来检查传递的变量中是否存在非法字符。这些非法字符通常包括单引号(')、分号(;)和...
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来访问或修改敏感数据。止SQL注入需要了解SQL注入原理和止SQL注入的方法。 基本概念 PHP中...
SQL注入php代码
08-24
SQL注入php,通用注入
php注入代码
10-12
1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php通用注入类.zip
07-11
php通用注入
PHP通用注入安全代码-修改可用
05-15
PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用、PHP通用注入安全代码-修改可用
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
php 代码注入,在PHP中,如何代码注入攻击?
weixin_42568801的博客
03-10 466
PHP中有这么多函数,我对这些函数的使用感到很混乱。有人使用:htmlspecialchars(),htmlentities(),strip_tags()等哪一个是正确的,大家通常使用什么呢?下面这行应该是正确的(如果有更好的请给我建议):$var = mysql_real_escape_string(htmlentities($_POST['username']));这一行可以止MySQL注入...
php全局注入,SQL全局注入代码
weixin_28741099的博客
04-09 157
PHP】1.将waf文件夹复制到服务器任意位置,修改php.ini文件。增加如下代码(假设cesafe_waf.php文件在home目录)auto_prepend_file="/home/cesafe_waf.php"重启apache即可!【JSP】1.SQLFilter.java为过滤的源文件。可自行对SQL过滤的关键字进行修改。放在自己项目源码中进行编译。(路径不一致的时候请修改包名)2...
php代码注入漏洞,php止sql注入漏洞代码
weixin_28994767的博客
04-12 107
//Code By Safefunction customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile";die();}set_error_handler("customError",E_ERROR);$getfilter="'|(...
常见的PHP安全
阳水平的博客
05-23 3657
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
PHP注入防护策略与安全设置
在Web开发中,PHP注入是一种常见的安全威胁,它允许攻击者通过输入恶意代码来操纵或控制服务器上的PHP应用程序。本文档主要关注PHP注入安全规范,提供了一些范措施。 PHP注入通常是由于不当的数据处理导致的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值