关于php防注入

最新推荐文章于 2024-11-13 19:30:51 发布
最新推荐文章于 2024-11-13 19:30:51 发布
阅读量294 收藏
点赞数
分类专栏: php 文章标签: php function sql insert delete 服务器

一般性的防注入,只要使用php的 addslashes 函数就可以了。
http://www.phpe.net/manual/function.addslashes.php

以下是一段copy来的代码:


$_POST = sql_injection($_POST);
$_GET = sql_injection($_GET);

function sql_injection($content)
{
if (!get_magic_quotes_gpc()) {
if (is_array($content)) {
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
addslashes($content);
}
}
return $content;
}


做系统的话,可以用下面的代码,也是copy来的。接下来做系统的时候,如果有问题,或者有修改的地方,我会补充说明:

/*   
函数名称:inject_check()   
函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全   
参  数:$sql_str: 提交的变量   
返 回 值:返回检测结果,ture or false   
*/   
function inject_check($sql_str) {     
   return eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile', $sql_str);     // 进行过滤     
}     
   
/*   
函数名称:verify_id()   
函数作用:校验提交的ID类值是否合法   
参  数:$id: 提交的ID值   
返 回 值:返回处理后的ID   
*/   
function verify_id($id=null) {     
   if (!$id) { exit('没有提交参数!'); }     // 是否为空判断     
   elseif (inject_check($id)) { exit('提交的参数非法!'); }     // 注射判断     
   elseif (!is_numeric($id)) { exit('提交的参数非法!'); }     // 数字判断     
   $id = intval($id);     // 整型化     
   
   return   $id;     
}     
   
/*   
函数名称:str_check()   
函数作用:对提交的字符串进行过滤   
参  数:$var: 要处理的字符串   
返 回 值:返回过滤后的字符串   
*/   
function str_check( $str ) {     
   if (!get_magic_quotes_gpc()) {     // 判断magic_quotes_gpc是否打开     
     $str = addslashes($str);     // 进行过滤     
   }     
   $str = str_replace("_", "/_", $str);     // 把 '_'过滤掉     
   $str = str_replace("%", "/%", $str);     // 把 '%'过滤掉     
   
   return $str;      
}     
   
/*   
函数名称:post_check()   
函数作用:对提交的编辑内容进行处理   
参  数:$post: 要提交的内容   
返 回 值:$post: 返回过滤后的内容   
*/   
function post_check($post) {     
   if (!get_magic_quotes_gpc()) {     // 判断magic_quotes_gpc是否为打开     
     $post = addslashes($post);     // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤     
   }     
   $post = str_replace("_", "/_", $post);     // 把 '_'过滤掉     
   $post = str_replace("%", "/%", $post);     // 把 '%'过滤掉     
   $post = nl2br($post);     // 回车转换     
   $post = htmlspecialchars($post);     // html标记转换     
   
   return $post;     
}

winddai
关注
专栏目录
php如何注入,PHP如何注入
weixin_31002075的博客
03-10 1214
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:show.p...
php 怎么注入,php 注入的几种办法
weixin_42515120的博客
03-26 2068
php教程 注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php7 mysql注入_php如何sql注入
weixin_32123259的博客
02-08 1252
SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。php如何sql注入?1、什么时候最易受到SQL注入攻击当应用...
phpsql注入,关于thinkphpSQL注入总结
weixin_29491655的博客
03-10 962
1.先来个例子形式的//注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.//不安全的写法举例1$_GET['id']=8;//希望得到的是正整数$data=M('Member')->where('id='.$_GET['id'])->find();$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;//安全的替换写法$da...
PHP SQL注入
谁还不是一块小饼干的博客
01-04 4424
参考资料: PHPSQL注入的方法 php操作mysqlsql注入(合集) PDO注入原理分析以及使用PDO的注意事项 php SQL 注入的一些经验 如何在PHPSQL注入PHP安全编程:SQL注入 addslashes与mysql_real_escape_string的区别 How can I prevent SQL injection in PHP? 什么是SQL...
360提供的phpsql注入代码修改类
05-02
阅读`readme.md`文件,通常会详细解释如何引入和使用这个注入类,包括类的初始化、方法调用以及如何在实际的SQL查询和HTTP处理中集成这些护机制。类的设计可能会包含如`escape_string()`用于转义SQL字符串,`...
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
PHP注入安全代码
10-30
另一种更常见的注入策略是使用预处理语句和参数绑定,例如使用PDO(PHP Data Objects)库。预处理语句可以确保即使输入包含恶意SQL代码,也不会被执行,因为参数值会被单独处理,不会混淆到SQL语句中。 ```php //...
php > 关于注入
mft8899的博客
06-09 141
  From : http://hudeyong926.iteye.com/blog/703074   <?php $field = explode(',', $data); array_walk($field, array($this, 'add_special_char')); $data = implode(',', $field); /** * 对字段两边加反引号...
简单的PHP注入类库
04-28
"简单的PHP注入类库"是一个旨在止这种攻击的工具,它可以帮助开发者确保用户输入的数据不会破坏或操纵数据库查询。 首先,我们需要了解SQL注入SQL注入是指攻击者通过在Web表单中输入恶意的SQL代码,利用不...
php 注入
11-26 730
/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:注入**************************///要过滤的非法字符$ArrFiltrate=array("",";","union");//出错后要跳转的url,不填则默认前一页$StrGoUrl="";//是否存在数组中的值function FunStri
php通用注入类.zip
07-11
"php通用注入类.zip"中的内容可能是一个预设计划好的PHP类,用于帮助开发者在处理用户输入时确保数据的安全性。 这个注入类可能会包含以下关键功能: 1. **预处理语句**:预处理语句是SQL注入的最有效方法...
弄巧成拙的 PFC(Priority-based Flow Control)
Netfilter
11-09 1827
InfiniBand 满足 RDMA 的需求,但复杂且昂贵,需要专用 IB 链路层支撑,而 RoCE 旨在普遍的以太网上部署 RDMA,但以太网是有损网络,会拥塞而丢包,丢包重传会增加网卡实现的复杂性同时增加时延,抵消 RDMA 的优势。不要指望网络无损,因为不丢包不可能,丢包原因又不止拥塞一种,PFC 显然无法覆盖所有场景,问题的核心应集中在丢包恢复,而拥塞控制完全从丢包解耦,拥塞不与丢包关联,自然就是另一个独立问题。即便不重构整个网络,只要从本质出发,问题的解法也会比 PFC 更高尚。
MDBook 使用指南
qq_39517117的博客
11-12 315
介绍了 MDBook 的基本使用方法,并演示了一个简单的构建过程。
Autosar CP 基于CAN的时间同步规范导读
最新发布
11-13 500
这个示例简单地模拟了AUTOSAR CP基于CAN的时间同步规范中的一些基本概念,如时间获取、消息发送和接收以及错误处理。实际的时间同步规范会更加复杂,涉及更多的细节和功能,例如消息格式、序列计数器管理、时间验证、安全机制等。但这个示例可以帮助你理解时间同步的基本工作原理。
Sigrity SPEED2000 Power Ground Noise Simulation模式如何进行电源地噪声分析操作指导-SODIMM
weixin_54787054的博客
11-09 296
由于只需要将DRAM的电源设置为激励源,但是DRAM目前连接了许多非电源网络,设置激励源比较麻烦,所以需要单独创建4个只含有电源和地pin的component代替DRAM,较为简便。这是一个SODIMM的PCB文件,本例中仿真TOP层4个DRAM的噪声对于电源地的影响,同时观测在噪声激励下,4个DRAM电压时域波形。本例中是这个模式来观测电源的时域波形,除此之外这个模式也是可以的用来观测信号的电压时域波形的。可以看到使能后,电源的噪声幅度会更大,更接近实际情况。勾选以下选项,将这些影响都纳入仿真分析。
【故障解决】麒麟系统右下角网络图标取消显示叹号
鹏大圣运维
11-13 734
Hello,大家好啊!今天给大家带来一篇关于如何在麒麟系统中解决网络图标出现感叹号问题的文章。在日常使用麒麟系统的过程中,我们在内网或公网环境下,有时会遇到网络图标上出现感叹号的情况。这通常是因为系统默认的 NetworkManager.conf 配置文件中指定了一个用于网络探测的 uri 地址,当系统无法访问这个地址时,就会认为网络不通,从而显示感叹号。即便在公网环境下,有时也会遇到这种问题。今天我们就来介绍几种解决方法,帮助大家轻松排除困扰!欢迎大家分享点赞,点个在看和关注吧!
[FBCTF 2019]rceservice 详细题解
weixin_73904941的博客
11-09 1409
如果在字符串最末尾的 } 之前加上一个%0a {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时 \x00-\x1F 匹配了第一个%0a 但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a 所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?
【Pikachu】File Inclusion文件包含实战
梦里明明有六趣,觉后空空无大千
11-09 912
永远也不要忘记能够笑的坚强,就算受伤,我也从不彷徨。
TCP/IP协议,TCP和UDP区别
眷怀的博客
11-11 836
TCP/IP是用于计算机网络通信的基础协议集。包括互联网层(IP)传输层(TCP/UDP)和应用层等,确保数据在网络中可靠传输和有效路由。常见协议有等。TCP提供可靠、面向连接的服务,适合对数据传输有高可靠性要求的应用。UDP提供简单、无连接的服务,适合实时性要求高的应用。理解这些协议和它们的工作方式对于网络配置、故障排查和优化非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值