php代码防注入,简单的php防注入代码

最新推荐文章于 2024-04-25 19:15:50 发布
最新推荐文章于 2024-04-25 19:15:50 发布
阅读量484 收藏 2
点赞数
文章标签: php代码防注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.本篇文章主要两种方法php防注入的方法,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include(“/safe.php“);即可 :

php防注入代码方法一:<?php

//要过滤的非法字符

$ArrFiltrate=array(”‘”,”;”,”union”);

//出错后要跳转的url,不填则默认前一页

$StrGoUrl=””;

//是否存在数组中的值

function FunStringExist($StrFiltrate,$ArrFiltrate){

foreach ($ArrFiltrate as $key=>$value){

if (eregi($value,$StrFiltrate)){

return true;

}

}

return false;

}

//合并$_POST 和 $_GET

if(function_exists(array_merge)){

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

foreach($HTTP_POST_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

foreach($HTTP_GET_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

}

//验证开始

foreach($ArrPostAndGet as $key=>$value){

if (FunStringExist($value,$ArrFiltrate)){

echo “”;

if (emptyempty($StrGoUrl)){

echo “”;

}else{

echo “”;

}

exit;

}

}

?>

php防注入代码方法二:/* 过滤所有GET过来变量 */

foreach ($_GET as $get_key=>$get_var)

{

if (is_numeric($get_var)) {

$get[strtolower($get_key)] = get_int($get_var);

} else {

$get[strtolower($get_key)] = get_str($get_var);

}

}

/* 过滤所有POST过来的变量 */

foreach ($_POST as $post_key=>$post_var)

{

if (is_numeric($post_var)) {

$post[strtolower($post_key)] = get_int($post_var);

} else {

$post[strtolower($post_key)] = get_str($post_var);

}

}

/* 过滤函数 */

//整型过滤函数

function get_int($number)

{

return intval($number);

}

//字符串型过滤函数

function get_str($string)

{

if (!get_magic_quotes_gpc()) {

return addslashes($string);

}

return $string;

}

weixin_39932762
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来访问或修改敏感数据。防止SQL注入需要了解SQL注入原理和防止SQL注入的方法。 基本概念 PHP中...
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 778
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
网站防止注入入侵的一些有效代码和方法
汗水挥洒,脑力风暴
08-29 1035
代码一:&apos;--------定义部份------------------  Dim  Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr  &apos;自定义需要过滤的字串,用  " "  分隔  Fy_In  =  "’’’’;andexecinsertselectdeleteupdatecount
PHP后端安全性:如何防止SQL注入和跨站脚本攻击?
最新发布
ElvaRaleign的博客
04-25 965
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而防止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
一段困扰许久的注入代码
热门推荐
12-18 4万+
有段时间一直热衷于研究各种waf绕过,一般来说,云WAF可以通过找到网站真实IP来绕过,硬件waf也常因为HTTP协议解析差异导致绕过,但是,代码层的护往往只能从代码逻辑里寻找绕过思路...
PHP防止注入及开发安全
weixin_30385925的博客
07-25 107
一、 防止注入的几种办法   其实原来就是我们需要过滤一些我们常见的关键字和符合如:   Select,insert,update,delete,and,*,等等   例子: 1  function inject_check($sql_str) {2 3   return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\....
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码
a342874650的专栏
12-29 3544
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
php 防止代码注入,在PHP中,如何防止代码注入攻击?
weixin_42568801的博客
03-10 462
PHP中有这么多函数,我对这些函数的使用感到很混乱。有人使用:htmlspecialchars(),htmlentities(),strip_tags()等哪一个是正确的,大家通常使用什么呢?下面这行应该是正确的(如果有更好的请给我建议):$var = mysql_real_escape_string(htmlentities($_POST['username']));这一行可以防止MySQL注入...
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
网站注入通用代码
12-14
网站注入通用代码 用于ACCESS、 MS-SQL
SQL注入式攻击源代码
06-12
通过注入式字符串实现SQL注入式攻击源代码
[实践总结] Java 防止SQL注入的四种方案
张紫娃的博客
08-28 1105
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
通用的PHP注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2094
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站注入程序,需要在公共文件中require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
PHP注入攻击
Ryan Z 的技术日志
07-25 1121
纯数字的参数intval强制取整 其他参数值进行过滤或者转义 protected function zaddslashes($string, $force = 0, $strip = FALSE) { if (!defined('MAGIC_QUOTES_GPC')) { define('MAGIC_QUOTES_GP
php 防止代码注入,如何防止PHP中的代码注入攻击?
weixin_39552204的博客
03-10 149
mysql_real_escape_string 在插入数据库时使用htmlentities() 在将数据输出到网页时使用htmlspecialchars() 什么时候用的?strip_tags() 什么时候用的?addslashes() 什么时候用的?htmlspecialchars()何时使用?htmlspecialchars与大致相同htmlentities。区别:字符编码。两个编码控制字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值