php过滤注入变量

最新推荐文章于 2023-05-16 13:50:24 发布
最新推荐文章于 2023-05-16 13:50:24 发布
阅读量103 收藏
点赞数
文章标签: php
本文介绍了一种在PHP环境中通过模拟预定义变量和检查全局变量来增强应用安全性的方式。该方法适用于PHP5及更高版本,特别是在禁用了长格式预定义变量的情况下。通过一系列的安全措施,可以有效防止恶意注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php
//如果环境是php5并且屏蔽了长格式的预定义变量,就进行模仿长格式预定义变量。
if(@phpversion()>='5.0.0'&&(!@ini_get('register_long_arrays')||@ini_get('register_long_arrays')=='0'||strtolower(@ini_get('register_long_arrays'))=='off'))
{
$HTTP_POST_VARS=$_POST;
$HTTP_GET_VARS=$_GET;
$HTTP_SERVER_VARS=$_SERVER;
$HTTP_COOKIE_VARS=$_COOKIE;
$HTTP_ENV_VARS=$_ENV;
$HTTP_POST_FILES=$_FILES;

//判断$_SESSION是否已经注册生效
if(isset($_SESSION))
{
$HTTP_SESSION_VARS=$_SESSION;
}
}

//防范注入GLOBALS变量
if(isset($HTTP_POST_VARS['GLOBALS'])||isset($HTTP_POST_FILES['GLOBALS'])||isset($HTTP_GET_VARS['GLOBALS'])||isset($HTTP_COOKIE_VARS['GLOBALS']))
{
die("Hackingattempt");
}

//防范$HTTP_SESSION_VARS伪装
if(isset($HTTP_SESSION_VARS)&&!is_array($HTTP_SESSION_VARS))
{
die("Hackingattempt");
}

//以下代码在环境register_globals=on时模拟off
if(@ini_get('register_globals')=='1'||strtolower(@ini_get('register_globals'))=='on')
{
//不应该被unset的,并且预定义变量数组中也不包含的变量名,如果外来数据中存在就是访问者注入的!
$not_unset=array('HTTP_GET_VARS','HTTP_POST_VARS','HTTP_COOKIE_VARS','HTTP_SERVER_VARS','HTTP_SESSION_VARS','HTTP_ENV_VARS','HTTP_POST_FILES');

//如果HTTP_SESSION_VARS变量未被初始化或不是数组,array_merge函数将失败,所以需要核实HTTP_SESSION_VARS
if(!isset($HTTP_SESSION_VARS)||!is_array($HTTP_SESSION_VARS))
{
$HTTP_SESSION_VARS=array();
}

//合并为一个大数组,数组中包含各种外来变量
$input=array_merge($HTTP_GET_VARS,$HTTP_POST_VARS,$HTTP_COOKIE_VARS,$HTTP_SERVER_VARS,$HTTP_SESSION_VARS,$HTTP_ENV_VARS,$HTTP_POST_FILES);

//防止伪装数组
unset($input['input']);
unset($input['not_unset']);

//所有的名字未列入$not_unset数组的外来变量将被unset,列入的停止执行页面
while(list($var,)=@each($input))
{
//如果访问者注入了与预定义变量同名的变量
if(in_array($var,$not_unset))
{
die('Hackingattempt!');
}
//echo$var.'<br>';
unset($$var);
}

unset($input);
}
?>
iteye_15883
关注
比较好用的PHP注入漏洞过滤函数代码
10-28
PHP整站防注入程序,需要在公共文件中require_once本文件,因为现在网站被注入攻击现象很严重,所以推荐大家使用
php中$_GET与$_POST过滤sql注入的方法
10-25
然而,当从HTTP请求(如$_GET、$_POST等超全局变量)中获取的数据直接用于数据库查询时,应用程序可能会遭受SQL注入攻击。SQL注入是一种常见的网络攻击技术,攻击者试图在SQL语句中注入恶意SQL代码,以非法控制...
php 过滤变量,php中的变量过滤器、常量
weixin_42116681的博客
03-10 264
变量1. 作用域变量作用域,也叫”变量范围”, 即定义变量时的上下文环境变量作用域,通俗的说,就是变量的生效范围一个变量必定属于一个作用域, 这个作用域也包括了当前作用域中引入其它文件也有不受作用域限制的变量,例如超全局变量, 在程序中任何地方都是有定义的函数作用域: php 中只有函数可以创建作用域, 函数之外的代码全部在全局空间中序号作用域描述1函数作用域使用function关键字创建的作用域...
php 过滤变量,获取多个变量并且过滤它们 - PHP 7 中文文档
weixin_42561910的博客
03-10 273
(PHP 5 >= 5.2.0, PHP 7)filter_var_array – 获取多个变量并且过滤它们说明filter_var_array( array $data[, [mixed](php7/language.pseudo-types) $definition[, bool $add_empty = true]] ) : [mixed](php7/language.pseudo-t...
变量过滤处理(PHP
RookieDream
05-09 782
最近自己写了
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
在这个例子中,`:username`和`:status`是占位符,它们会在执行时被实际的变量值替换,而不会影响SQL语句的结构。 总结起来,防止SQL注入的最佳实践包括: 1. 使用预编译的SQL语句或参数化查询。 2. 对用户输入进行...
php参数过滤、数据过滤
05-01
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini中开启magic_...
php防止sql注入过滤分页参数实例
12-19
本文将深入探讨如何在PHP中防止SQL注入,特别是针对分页参数的过滤方法。 首先,理解SQL注入的基本原理至关重要。当用户输入的数据未经验证或清理就被直接拼接到SQL查询中时,攻击者可以通过构造特殊的输入来执行非...
js获取php变量的实现代码
10-27
确保对PHP变量进行适当的转义或过滤,以防止注入恶意脚本。 3. **异步通信**:如果需要在页面加载后动态获取PHP变量的值,可以使用AJAX(Asynchronous JavaScript and XML)技术。通过XMLHttpRequest或现代浏览器的...
php 过滤绕过注入,PHPB2B注入#1(绕过过滤)
weixin_34556808的博客
03-29 197
### 简要描述:PHPB2B某处注入#1。绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip漏洞文件。virtual-office/company.php### 详细说明:POST /phpb2b/virtual-office/company.phpContent-Disposition: form-data; nam...
php变量如何过滤,php变量过滤器函数了解
weixin_39988779的博客
03-22 234
什么是php变量过滤器呢?php过滤器用于验证和过滤来自非安全来源的数据,使用过滤器可以保证应用程序获得正确的输入类型。php过滤器函数filter_var():通过指定的过滤器来过滤单一的变量filter_var_array():通过相同或不同的过滤器来过滤多个变量filter_input:获取一个输入变量,并对其进行过滤filter_input_array:获取多个输入变量,并通过相同或者不...
PHP 过滤注入语句
weixin_42136237的博客
05-16 200
PHP 过滤注入语句
什么是 PHP 过滤器?为什么使用过滤器?
qq_39703644的博客
08-08 592
PHP 过滤PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。 什么是 PHP 过滤器? PHP 过滤器用于验证和过滤来自非安全来源的数据。 测试、验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 PHP过滤器扩展的设计目的是使数据过滤更轻松快捷。 为什么使用过滤器? 几乎所有的 Web 应用程
php 过滤变量,php过滤注入变量的实例代码
weixin_39883065的博客
03-10 135
/*** 过滤注入变量的代码* edit:www.jbxue.com*///php5且屏蔽了长格式的预定义变量,则模仿长格式预定义变量。if (@phpversion() >= '5.0.0' && (!@ini_get('register_long_arrays') || @ini_get('register_long_arrays') == '0' || strtolow...
post防注入过滤 php,PHP之POST参数过滤,防止SQL注入
weixin_30139213的博客
03-12 1005
php整站防sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
注入过滤php,php 防sql注入过滤代码
weixin_30679547的博客
03-09 550
function phps教程ql_show($str){$str = stripslashes($str);$str = str_replace("\", "", $str);$str = str_replace("/", "/", $str);$str = str_replace(" ", " ", $str);$str = str_replace(",", ",", $str);return...
php通用过滤,php注入和XSS攻击通用过滤
weixin_30384285的博客
03-10 263
public function SafeFilter($arr){$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/...
PHP注入攻击技术详解
在网络安全中,PHP注入是一种常见的攻击手段,它发生在Web应用程序未能充分过滤或验证用户输入的情况下,允许攻击者向PHP脚本中注入恶意代码,通常是SQL查询。以下是一些PHP注入语句的基本概念和示例: 1. **SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值