实现PHP网站整体防注入

最新推荐文章于 2021-03-12 20:58:14 发布
最新推荐文章于 2021-03-12 20:58:14 发布
阅读量492 收藏 1
点赞数

突然想到是不是能够通过一个文件来处理整个网站中所有可能出现注入的地方进行防范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。

我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我们要做的工作就是过滤每个变量就可以了。

下面看具体的代码:


/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=>$get_var)
{
     if (is_numeric($get_var))
    if (is_numeric($get_var)) {
  $get[strtolower($get_key)] = get_int($get_var);
 } else {
  $get[strtolower($get_key)] = get_str($get_var);
 }
}

/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
 if (is_numeric($post_var)) {
  $post[strtolower($post_key)] = get_int($post_var);
 } else {
  $post[strtolower($post_key)] = get_str($post_var);
 }
}

/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
    return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
    if (!get_magic_quotes_gpc()) {
 return addslashes($string);
    }
    return $string;
}

那么我们把以上代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们一劳永逸的效果。

参考黑夜路人blog

冰雪之源
关注
PHP注入文件
10-13
来自阿里云的PHP安全护 1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
php简单实现sql注入的方法
10-22
因此,PHP实现SQL注入是保证网站安全的重要措施之一。 php简单实现SQL注入的方法中,首先提到的工具是addslashes()函数。addslashes()函数通过向字符串添加反斜杠,对引号、反斜杠、NULL等字符进行转义,从而...
PHP网站整体注入方法
heiyeluren的blog(黑夜路人的开源世界)
07-20 2952
PHP网站整体注入方法/* * Author: heiyeluren * Date: 2005-7-20 * Blog: http://blog.csdn.net/heiyeshuwu*/今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都
php网站如何止sql注入
の原為じ簡單
12-13 157
php网站如何止sql注入网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,止自己的网站被sql注入。 如今主流的网站开发语言还是php,那我们就从php网站如何止sql注入开始说起: Php注入的安全范通过上面的过程,我们可以了解到php注入...
一个全面的PHP整站注入程序代码
caijin的专栏
05-05 561
这是一个考虑比较全面的php和sql结合的注入程序,在php方便主要对get,post,cooke,files进行了过滤,在sql中我们就对delete,update一些查询命令进行检测过滤。 SQL注入攻击的总体思路 ·发现SQL注入位置;  ·判断后台数据库类型;  ·确定XP_CMDSHELL可执行情况  ·发现WEB虚拟目录  ·上传ASP,php,jsp木马;
php整站注入程序,一个全面的PHP整站注入程序
weixin_30141959的博客
03-12 145
SQL注入攻击的总体思路·发现SQL注入位置;·判断后台数据库类型;·确定XP_CMDSHELL可执行情况·发现WEB虚拟目录·上传ASP,php,jsp木马;·得到管理员权限;代码如下if (@get_magic_quotes_gpc ()) {$_GET = sec ( $_GET );$_POST = sec ( $_POST );$_COOKIE = sec ( $_COOKIE );$_...
js/sql注入简易工具源代码
03-18
1. **src**:这是源代码目录,包含了实现注入功能的核心类和函数。开发者可以通过阅读和理解这些代码来了解其工作原理,并根据项目需求进行定制。 2. **范例**:这个目录可能包含了使用该工具的示例代码,帮助...
基于php特产销售网站设计与实现.docx
最新发布
11-08
- 安全模块:用户权限控制、数据加密、SQL注入等。 3.3 数据库设计 数据库主要包括用户表、商品表、订单表、评论表等,合理设计数据结构,保证数据的一致性和完整性。 4.1 至4.5 系统实现 这部分详细描述了首页...
php-test.rar_PHP企业网站_php_php网站_企业网站_企业网站 php
09-21
在实际应用中,PHP企业网站通常会涉及到如MySQL数据库的交互、session和cookie的管理、模板引擎的使用、错误和异常处理、安全护措施(如SQL注入御、XSS护)等内容。此外,可能还会涉及SEO优化、性能优化、负载...
zhubao-101022-a20_企业网站模板PHP整站源码.zip
08-01
在实际项目中,设计师会通过这样的截图来呈现网站的视觉风格和布局,以便客户或开发者了解整体设计思路。 接下来是"template_info.php",这是一个重要的文件,通常包含了模板的相关信息,如作者、版本、版权等。它...
php注入(一)
qxs101307204的专栏
10-20 331
Php注入式(一)    1.函数:  Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的
php整站注入程序,一个不错的php通用注入程序
weixin_28834765的博客
03-12 77
代码如下:function jk1986_checksql(){$bad_str = "and|select|update|'|delete|insert|*";$bad_Array = explode("|",$bad_str);/** 过滤Get参数 **/foreach ($bad_Array as $bad_a){foreach ($_GET as $g){if (substr_count...
php整站注入程序,一个全面的PHP整站注入程序_PHP教程
weixin_35909238的博客
03-12 119
这是一个考虑比较全面的php和sql结合的注入程序,在php方便主要对get,post,cooke,files进行了过滤,在sql中我们就对delete,update一些查询命令进行检测过滤。SQL注入攻击的总体思路·发现SQL注入位置;·判断后台数据库类型;·确定XP_CMDSHELL可执行情况·发现WEB虚拟目录·上传ASP,php,jsp木马;·得到管理员权限;代码如下复制代码if (@g...
php整站注入程序,php通用注入程序 推荐
weixin_35143292的博客
03-12 78
function jk1986_checksql(){$bad_str = "and|select|update|‘|delete|insert|*";$bad_Array = explode("|",$bad_str);/** 过滤Get参数 **/foreach ($bad_Array as $bad_a){foreach ($_GET as $g){if (substr_count(strt...
一劳永逸:PHP网站整体注入方法
wxdvc的专栏
01-23 524
主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到注入的效果。  今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。  我们主要是从两点出发,因为我们的获取的变量一般都是通过G
网站注入
java journey
04-08 1030
<br />http://blog.csdn.net/jingshuaizh/archive/2009/07/30/4394773.aspx<br /> <br />最近看到很多人的网站都被注入js,被iframe之类的。非常多。 <br /><br /> 本人曾接手过一个比较大的网站,被人家入侵了,要我收拾残局。。 <br /><br /> 1.首先我会检查一下服务器配置,重新配置一次服务器安全,可以参考 <br /> http://hi.baidu.com/zzxap/blog/item/1818
php网站开发注入,php注入及开发安全详细解析
weixin_35589806的博客
03-11 120
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统.SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:页面...
PHP止SQL注入
聂群技术博客
03-29 3077
我们在查询数据库时,出于安全考虑,需要过滤一些非法字符止SQL恶意注入,请看一下函数:代码如下:function injCheck($sql_str) { $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str); if ($
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值