php过滤注入变量

最新推荐文章于 2024-08-22 10:09:18 发布
原创 最新推荐文章于 2024-08-22 10:09:18 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #session #arrays #input #server #ini

<?php
//如果环境是php5并且屏蔽了长格式的预定义变量,就进行模仿长格式预定义变量。
if (@phpversion() >= '5.0.0' && (!@ini_get('register_long_arrays'|| @ini_get('register_long_arrays'== '0' || strtolower(@ini_get('register_long_arrays')) == 'off'))
{
    $HTTP_POST_VARS = $_POST;
    $HTTP_GET_VARS = $_GET;
    $HTTP_SERVER_VARS = $_SERVER;
    $HTTP_COOKIE_VARS = $_COOKIE;
    $HTTP_ENV_VARS = $_ENV;
    $HTTP_POST_FILES = $_FILES;

    // 判断$_SESSION是否已经注册生效
    if (isset($_SESSION))
    {
        $HTTP_SESSION_VARS = $_SESSION;
    }
}

// 防范注入GLOBALS变量
if (isset($HTTP_POST_VARS['GLOBALS']) || isset($HTTP_POST_FILES['GLOBALS']) || isset($HTTP_GET_VARS['GLOBALS']) || isset($HTTP_COOKIE_VARS['GLOBALS']))
{
    die("Hacking attempt");
}

// 防范$HTTP_SESSION_VARS伪装
if (isset($HTTP_SESSION_VARS&& !is_array($HTTP_SESSION_VARS))
{
    die("Hacking attempt");
}

//以下代码在环境register_globals = on时模拟off
if (@ini_get('register_globals'== '1' || strtolower(@ini_get('register_globals')) == 'on')
{
    //不应该被unset的,并且预定义变量数组中也不包含的变量名,如果外来数据中存在就是访问者注入的!
    $not_unset = array('HTTP_GET_VARS', 'HTTP_POST_VARS', 'HTTP_COOKIE_VARS', 'HTTP_SERVER_VARS', 'HTTP_SESSION_VARS', 'HTTP_ENV_VARS', 'HTTP_POST_FILES');

    // 如果HTTP_SESSION_VARS变量未被初始化或不是数组,array_merge函数将失败,所以需要核实HTTP_SESSION_VARS
    if (!isset($HTTP_SESSION_VARS|| !is_array($HTTP_SESSION_VARS))
    {
        $HTTP_SESSION_VARS = array();
    }

    // 合并为一个大数组,数组中包含各种外来变量
    $input = array_merge($HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS, $HTTP_SESSION_VARS, $HTTP_ENV_VARS, $HTTP_POST_FILES);
    
    //防止伪装数组
    unset($input['input']);
    unset($input['not_unset']);
    
    //所有的名字未列入$not_unset数组的外来变量将被unset,列入的停止执行页面
    while (list($var,= @each($input))
    {
        //如果访问者注入了与预定义变量同名的变量
        if (in_array($var, $not_unset))
        {
            die('Hacking attempt!');
        }
        //echo $var.'<br>';
        unset($$var);
    }

    unset($input);
}
?>
 
SQL注入详解
渗透之路,攻防之间皆学问
05-05 26万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
php 过滤变量,php中的变量过滤器、常量
weixin_42116681的博客
03-10 284
变量1. 作用域变量作用域,也叫”变量范围”, 即定义变量时的上下文环境变量作用域,通俗的说,就是变量的生效范围一个变量必定属于一个作用域, 这个作用域也包括了当前作用域中引入其它文件也有不受作用域限制的变量,例如超全局变量, 在程序中任何地方都是有定义的函数作用域: php 中只有函数可以创建作用域, 函数之外的代码全部在全局空间中序号作用域描述1函数作用域使用function关键字创建的作用域...
php 过滤变量,获取多个变量并且过滤它们 - PHP 7 中文文档
weixin_42561910的博客
03-10 290
(PHP 5 >= 5.2.0, PHP 7)filter_var_array – 获取多个变量并且过滤它们说明filter_var_array( array $data[, [mixed](php7/language.pseudo-types) $definition[, bool $add_empty = true]] ) : [mixed](php7/language.pseudo-t...
比较好用的PHP注入漏洞过滤函数代码
10-28
PHP整站防注入程序,需要在公共文件中require_once本文件,因为现在网站被注入攻击现象很严重,所以推荐大家使用
变量过滤处理(PHP
RookieDream
05-09 796
最近自己写了
php 过滤绕过注入,PHPB2B注入#1(绕过过滤)
weixin_34556808的博客
03-29 206
### 简要描述:PHPB2B某处注入#1。绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip漏洞文件。virtual-office/company.php### 详细说明:POST /phpb2b/virtual-office/company.phpContent-Disposition: form-data; nam...
php中$_GET与$_POST过滤sql注入的方法
10-25
然而,当从HTTP请求(如$_GET、$_POST等超全局变量)中获取的数据直接用于数据库查询时,应用程序可能会遭受SQL注入攻击。SQL注入是一种常见的网络攻击技术,攻击者试图在SQL语句中注入恶意SQL代码,以非法控制...
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
在这个例子中,`:username`和`:status`是占位符,它们会在执行时被实际的变量值替换,而不会影响SQL语句的结构。 总结起来,防止SQL注入的最佳实践包括: 1. 使用预编译的SQL语句或参数化查询。 2. 对用户输入进行...
php参数过滤、数据过滤
05-01
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini中开启magic_...
php防止sql注入过滤分页参数实例
12-19
本文将深入探讨如何在PHP中防止SQL注入,特别是针对分页参数的过滤方法。 首先,理解SQL注入的基本原理至关重要。当用户输入的数据未经验证或清理就被直接拼接到SQL查询中时,攻击者可以通过构造特殊的输入来执行非...
php变量如何过滤,php变量过滤器函数了解
weixin_39988779的博客
03-22 251
什么是php变量过滤器呢?php过滤器用于验证和过滤来自非安全来源的数据,使用过滤器可以保证应用程序获得正确的输入类型。php过滤器函数filter_var():通过指定的过滤器来过滤单一的变量filter_var_array():通过相同或不同的过滤器来过滤多个变量filter_input:获取一个输入变量,并对其进行过滤filter_input_array:获取多个输入变量,并通过相同或者不...
PHP 过滤注入语句
weixin_42136237的博客
05-16 223
PHP 过滤注入语句
什么是 PHP 过滤器?为什么使用过滤器?
qq_39703644的博客
08-08 603
PHP 过滤PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。 什么是 PHP 过滤器? PHP 过滤器用于验证和过滤来自非安全来源的数据。 测试、验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 PHP过滤器扩展的设计目的是使数据过滤更轻松快捷。 为什么使用过滤器? 几乎所有的 Web 应用程
php 过滤变量,php过滤注入变量的实例代码
weixin_39883065的博客
03-10 149
/*** 过滤注入变量的代码* edit:www.jbxue.com*///php5且屏蔽了长格式的预定义变量,则模仿长格式预定义变量。if (@phpversion() >= '5.0.0' && (!@ini_get('register_long_arrays') || @ini_get('register_long_arrays') == '0' || strtolow...
post防注入过滤 php,PHP之POST参数过滤,防止SQL注入
weixin_30139213的博客
03-12 1032
php整站防sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
注入过滤php,php 防sql注入过滤代码
weixin_30679547的博客
03-09 560
function phps教程ql_show($str){$str = stripslashes($str);$str = str_replace("\", "", $str);$str = str_replace("/", "/", $str);$str = str_replace(" ", " ", $str);$str = str_replace(",", ",", $str);return...
php通用过滤,php注入和XSS攻击通用过滤
weixin_30384285的博客
03-10 277
public function SafeFilter($arr){$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/...
PHP 安全:如何防止PHP中的SQL注入?_php 防止sql注入
最新发布
heike_Ch的博客
08-22 1448
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值