php注入类,简单实用的PHP防注入类实例

最新推荐文章于 2021-03-24 14:57:09 发布
最新推荐文章于 2021-03-24 14:57:09 发布
阅读量158 收藏
点赞数
文章标签: php注入类

PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.

PHP防注入类代码如下:

复制代码

代码如下:

JasonWei  */ class Params {     public $get = array();

public $post = array();      function __construct()

{  if (!emptyempty($_GET)) {      foreach ($_GET as $key => $val) {

if (is_numeric($val)) {      $this->get[$key] =

$this->getInt($val);  } else {      $this->get[$key] =

$this->getStr($val);  }      }  }  if (!emptyempty($_POST)) {

foreach ($_POST as $key => $val) {  if (is_numeric($val)) {

$this->post[$key] = $this->getInt($val);  } else {

$this->post[$key] = $this->getStr($val);  }      }  }

}      public function getInt($number)     {  return

intval($number);     }      public function getStr($string)

{  if (!get_magic_quotes_gpc()) {      $string = addslashes($string);

}  return $string;     }      public function

checkInject($string)     {  return

eregi('select|insert|update|delete|/*|*|../|./|union|into|load_file|outfile',

$string);     }      public function verifyId($id = null)     {

if (!$id || $this->checkInject($id) || !is_numeric($id)) {      $id

= false;  } else {      $id = intval($id);  } return $id;

} } ?>例子二,代码如下:

复制代码

代码如下:

说明:     判断传递的变量中是否含有非法字符         如$_POST、$_GET     功能:

防注入     *************************/     //要过滤的非法字符

$ArrFiltrate=array("'","or","and","union","where");

//出错后要跳转的url,不填则默认前一页      $StrGoUrl="";      //是否存在数组中的值

function FunStringExist($StrFiltrate,$ArrFiltrate){      foreach

($ArrFiltrate as $key=>$value){      if

(eregi($value,$StrFiltrate)){        return true;      }      }

return false;      }      //合并$_POST 和 $_GET

if(function_exists(array_merge)){

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{      foreach($HTTP_POST_VARS as $key=>$value){

$ArrPostAndGet[]=$value;      }      foreach($HTTP_GET_VARS as

$key=>$value){      $ArrPostAndGet[]=$value;      }      }

//验证开始      foreach($ArrPostAndGet as $key=>$value){      if

(FunStringExist($value,$ArrFiltrate)){      echo "";

if (emptyempty($StrGoUrl)){      echo

"history.go(-1);";

}else{      echo

"window.location='".$StrGoUrl."';";

}      exit;      }      }

/***************结束防止PHP注入*****************/     ?>

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

合众丰城
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单实用PHP注入实例
10-25
然而,仅仅依赖这注入并不足够。在实际应用中,还应该结合其他策略,如使用预编译语句(如PDO或MySQLi的预处理语句)、限制数据库用户的权限、使用存储过程等。此外,应始终使用参数化查询,这是止SQL注入的...
简单php注入.zip
07-11
"简单php注入.zip" 提供了一个用于止SQL注入PHP,下面将详细介绍这个的原理和使用方法。 首先,我们需要理解SQL注入的工作机制。当用户通过表单或其他方式提交数据到服务器时,这些数据通常会被拼接...
简单PHP注入
04-28
一个简单PHP注入库,注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令,就是我们要重点过滤的。
php安全,php安全,注入
weixin_34158442的博客
03-12 96
简介:classParams{public$get=array();public$post=array();function__construct(){if(!empty($_GET)){foreach($_GETas$key=>$val){if(is_numeric($val)){$this->get[$key]=$this->getIn...
mysql 注入 php_PHP止SQL注入方法详解
weixin_36234738的博客
01-18 210
这篇文章主要介绍了PHP止SQL注入方法详解,需要的朋友可以参考下问题描述:如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsa...
phpSQL注入的一个.zip
07-11
为了使用这个SQL注入,你需要解压文件,然后在你的PHP项目中引入并实例化这个。通过适当的配置和调用的方法,你可以对所有用户输入进行过滤和验证,确保它们在被用于SQL查询之前是安全的。 总的来说,这...
简单php注入
05-02
为确保应用安全,开发人员需要采取有效的御措施,这就是“简单php注入库”所关注的核心问题。 首先,我们需要理解SQL注入的工作原理。当用户数据未经验证或清理就直接与SQL查询拼接时,攻击者可能通过输入...
PHP通用注入安全代码
06-12 1057
来源:中国黑网 作者:三尺寒冰 简述:/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:注入**************************/ //要过滤的非法字符$ArrFiltrate=array("",";","union");//出错后要跳转的url,不填则默认前一页$StrGoUrl="";//是否存在数组
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
很好用的PHP注入.zip
07-11
<?php  /**   * 参数处理   * @author JasonWei   */  class Params  {      public $get = array();        public $post = array();        function __construct()      {  if (!emptyempty($_GET)) {      foreach ($_GET as $key => $val) {  if (is_numeric($val)) {      $this->get[$key] = $this->getInt($val);  } else {      $this->get[$key] = $this->getStr($val);  }      }  }  if (!emptyempty($_POST)) {      foreach ($_POST as $key => $val) {  if (is_numeric($val)) {      $this->post[$key] = $this->getInt($val);  } else {      $this->post[$key] = $this->getStr($val);  }      }  }这是一份很好用的PHP注入,需要的朋友可以下载使用
php通用注入.zip
07-11
php通用注入
SQL注入php库.zip
07-11
<?php class sqlsafe {   private $getfilter = "'|(and|or)\\b. ?(>|<|=|in|like)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*. ?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION. ?SELECT|UPDATE. ?SET|INSERT\\s INTO. ?VALUES|(SELECT|DELETE). ?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s (TABLE|DATABASE)";   public function __construct() {     foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}     foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}     foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}   }   public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){     if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);     if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){       $this->writeslog($_SERVER["REMOTE_ADDR"]."    ".strftime("%Y-%m-%d %H:%M:%S")."    ".$_SERVER["PHP_SELF"]."    ".$_SERVER["REQUEST_METHOD"]."    ".$StrFiltKey."    ".$StrFiltValue);       showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);     }   }   public function writeslog($log){     $log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';     $ts = fopen($log_path,"a ");     fputs($ts,$log."\r\n");     fclose($ts);   } }本库首先构造函数参数,然后检查并写日志最后检查SQL注入日志。是一个很好用的SQL注入php
SQL注入php代码
08-24
SQL注入php,通用注入
php注入,简单实用PHP注入实例_PHP
weixin_39548776的博客
03-11 75
本文实例讲述了简单实用PHP注入。分享给大家供大家参考。具体如下:PHP注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.PHP注入代码如下:代码如下:/*** 参数处理* @author JasonWei*/class Params{public $get = arra...
php 数据库 sql过滤,php止SQL注入数据库
weixin_29499957的博客
03-24 112
问题是,当你构建一个SQL查询时,通过查找变量来注入为时已晚 – 否则它已经内置到PHP中.在构建查询时,需要更早地进行转义.您可以使用查询构建.我将通过一些例子说明这一点;这里整洁的东西是迭代器,因为你可以抽象出更多,并在线上提供一些非常通用的来提取数据.使用上述方法创建用户记录:$user = new DbUser();$user->create();$user->set_...
PHP中MySQL注入御代码_PHP+SQL 注入攻击的技术实现以及预办法
weixin_29661797的博客
02-08 188
1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据型进行检查,向 MYSQL 提交正确的数据型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。为什么说第二点最为重要?因为如...
PHP手工注入实战:揭示数据库秘密
"这篇文档详细介绍了如何进行PHP手工注入攻击,通过实例展示了SQL注入的过程,以及如何获取数据库的相关信息。" 在PHP编程中,SQL注入是一种常见的安全漏洞,攻击者可以利用这种漏洞来操纵数据库查询,获取敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值