php 防注入

最新推荐文章于 2021-03-26 00:31:08 发布
转载 最新推荐文章于 2021-03-26 00:31:08 发布 · 997 阅读 · 0


之前用php做网站, php很方便好用,很好网站就做好了。可是听说还要做防注入(当时不知所云)。马上上网补一下。(其实很简单了,只要你有这个意识)

先说什么是注入:
     因为代码没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入攻击的总体思路是:

l 发现SQL注入位置;
l 判断后台数据库类型;
l 确定XP_CMDSHELL可执行情况
l 发现WEB虚拟目录
l 上传ASP木马;
l 得到管理员权限;

知道了就要动手防它了:
  因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我们要做的工作就是过滤每个变量就可以了。

只要编写检验变量合法性的函数, 存在一个公共文件里,如security.php。其他文件只要include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,一劳永逸了。

这就是我用的方法
具体的代码:
<?php
   //security.php
/**
 * @author zhengwei
 * @copyright 2007
 */

/* 
函数名称:inject_check() 
函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全 
参  数:$sql_str: 提交的变量 
返 回 值:返回检测结果,ture or false 
函数作者:heiyeluren 
*/ 
function inject_check($sql_str) {  
  return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);    // 进行过滤  
 
 
/* 
函数名称:verify_id() 
函数作用:校验提交的ID类值是否合法 
参  数:$id: 提交的ID值 
返 回 值:返回处理后的ID 
函数作者:heiyeluren 
*/ 
function verify_id($id=null) {  
  if (!$id) { exit('没有提交参数!'); }    // 是否为空判断  
  elseif (inject_check($id)) { exit('提交的参数非法!'); }    // 注射判断  
  elseif (!is_numeric($id)) { exit('提交的参数非法!'); }    // 数字判断  
  $id = intval($id);    // 整型化  
 
  return  $id;  
 
 
/* 
函数名称:str_check() 
函数作用:对提交的字符串进行过滤 
参  数:$var: 要处理的字符串 
返 回 值:返回过滤后的字符串 
函数作者:heiyeluren 
*/ 
function str_check( $str ) {  
  if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否打开  
    $str = addslashes($str);    // 进行过滤  
  
  $str = str_replace("_", "\_", $str);    // 把 '_'过滤掉  
  $str = str_replace("%", "\%", $str);    // 把 '%'过滤掉  
 
  return $str;   
 
 
/* 
函数名称:post_check() 
函数作用:对提交的编辑内容进行处理 
参  数:$post: 要提交的内容 
返 回 值:$post: 返回过滤后的内容 
函数作者:heiyeluren 
*/ 
function post_check($post) {  
  if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否为打开  
    $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤  
  
  $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉  
  $post = str_replace("%", "\%", $post);    // 把 '%'过滤掉  
  $post = nl2br($post);    // 回车转换  
  $post = htmlspecialchars($post);    // html标记转换  
 
  return $post;  
 


foreach ($_POST as $post_key=>$post_var)
{
 if (is_numeric($post_var)) {
  $post[strtolower($post_key)] = get_int($post_var);
 } else {
  $post[strtolower($post_key)] = get_str($post_var);
 }
}

/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
    return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
    if (!get_magic_quotes_gpc()) {
 return addslashes($string);
    }
    return $string;
}

?> 
简单的PHP防注入类库
04-28
"简单的PHP防注入类库"是一个旨在防止这种攻击的工具,它可以帮助开发者确保用户输入的数据不会破坏或操纵数据库查询。 首先,我们需要了解SQL注入。SQL注入是指攻击者通过在Web表单中输入恶意的SQL代码,利用不...
简单的php防注入类库
05-02
为确保应用安全,开发人员需要采取有效的防御措施,这就是“简单的php防注入类库”所关注的核心问题。 首先,我们需要理解SQL注入的工作原理。当用户数据未经验证或清理就直接与SQL查询拼接时,攻击者可能通过输入...
PHP如何防止注入
YC.PENG的专栏
10-13 688
1、PHP注入的基本原理  程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 受影响的系统:对输入的参数不进行检查和过滤的系统 SQL注入过程正常来讲,我们通过地址接收一些必要的参数如
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 2158
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php代码防注入,简单的php防注入代码
weixin_39932762的博客
03-17 572
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB...
php防注入 通用,php通用防注入与注入详细说明
weixin_35716518的博客
03-11 412
php通用防注入主要是过滤一些sql命令与php post get传过来的参考我们/要过滤一些非法字符,这样可以防止基本的注入了,那关第于apache 服务器安装设置方法也是必须的,管理员用户名和密码都采取md5加密,这样就能有效地防止了php的注入.还有服务器和mysql教程也要加强一些安全防范.对于linux服务器的安全设置:加密口令,使用“/usr/sbin/authconfig”工具打开密...
php防变量注入,浅谈PHP防注入
weixin_33834241的博客
03-11 224
某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道来。预备查询技术实际上是将不完整的SQL语句(如:select * from xxx wh...
整理php防注入和XSS攻击通用过滤
12-19
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
比较好用的PHP防注入漏洞过滤函数代码
12-18
标题中的“比较好用的PHP防注入漏洞过滤函数代码”指的是一个PHP代码片段,用于保护Web应用程序免受SQL注入攻击。这种攻击通常是通过恶意用户输入含有SQL命令的参数,以执行未授权的操作。以下是对该代码的详细解释...
精选资源
PHP 防注入防XSS攻击入口过滤
04-15
PHP 防注入防XSS攻击入口过滤
PHP获取IP地址的方法,防止伪造IP地址注入攻击
weixin_30312659的博客
09-20 178
PHP获取IP地址的方法,防止伪造IP地址注入攻击 原文:PHP获取IP地址的方法,防止伪造IP地址注入攻击PHP获取IP地址的方法 /** * 获取客户端IP地址 * <br />来源:ThinkPHP * <br />"X-FORWARDED-FOR" 是代理服务器通过 HTTP Headers 提...
php 释放内防_PHP如何防止注入及开发安全
weixin_39938855的博客
12-21 199
1、PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP10...
php防止SQL注入详解及防范
生而为人我很抱歉
07-13 1736
一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
php 防止注入 xss,PHP 安全输入输出方式 「防止 XSS 注入」
weixin_35990581的博客
03-11 356
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。我在开发中使用严进严出的安全保障方式:保证安全输入(严进)添加中间件,对所有参数进行过滤转换:htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签class...
input 防止 sql 注入
桂如的博客
08-07 4489
html &amp;lt;input oninput=&quot;preSql(this)&quot; type=&quot;text&quot; name=&quot;search&quot;/&amp;gt; js preSql = function (obj){ var dom = $(obj); var re= /select|update|delete|exec|count|join|union|
STM32电源设计原理图(Orcad绘制)
12-01
提供了一份STM32电源设计的原理图,该原理图采用Orcad软件绘制。该资源适用于需要进行STM32电源设计的工程师和电子爱好者,帮助他们快速理解和实现STM32系统的电源设计。 资源内容 STM32电源设计原理图:该原理图详细展示了STM32系统的电源设计方案,包括电源输入、稳压电路、滤波电路等关键部分。 Orcad格式文件:原理图以Orcad格式保存,方便用户直接在Orcad软件中打开和编辑。
(58页PPT)人工智能集团数字化转型SAP解决方案.pptx
12-01
(58页PPT)人工智能集团数字化转型SAP解决方案.pptx
这是一个专为2024年度国家自然科学基金申请设计的LaTeX模板项目_极简说明为提供简单易用且格式规范的申请书撰写工具_内容关键词包括青年项目申请书模板_中易字体配置指南_蓝字提纲.zip
12-01
这是一个专为2024年度国家自然科学基金申请设计的LaTeX模板项目_极简说明为提供简单易用且格式规范的申请书撰写工具_内容关键词包括青年项目申请书模板_中易字体配置指南_蓝字提纲.zip
基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)
最新发布
12-01
基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)内容概要:本文介绍了基于粒子群优化算法(PSO)的p-Hub选址优化问题的研究与实现,重点利用Matlab进行算法编程和仿真。p-Hub选址是物流与交通网络中的关键问题,旨在通过确定最优的枢纽节点位置和非枢纽节点的分配方式,最小化网络总成本。文章详细阐述了粒子群算法的基本原理及其在解决组合优化问题中的适应性改进,结合p-Hub中转网络的特点构建数学模型,并通过Matlab代码实现算法流程,包括初始化、适应度计算、粒子更新与收敛判断等环节。同时可能涉及对算法参数设置、收敛性能及不同规模案例的仿真结果分析,以验证方法的有效性和鲁棒性。; 适合人群:具备一定Matlab编程基础和优化算法理论知识的高校研究生、科研人员及从事物流网络规划、交通系统设计等相关领域的工程技术人员。; 使用场景及目标:①解决物流、航空、通信等网络中的枢纽选址与路径优化问题;②学习并掌握粒子群算法在复杂组合优化问题中的建模与实现方法;③为相关科研项目或实际工程应用提供算法支持与代码参考。; 阅读建议:建议读者结合Matlab代码逐段理解算法实现逻辑,重点关注目标函数建模、粒子编码方式及约束处理策略,并尝试调整参数或拓展模型以加深对算法性能的理解。
360推出易用的PHP防注入脚本,支持日志记录
php防注入技术是Web安全中的一个重要组成部分,它主要用于防止恶意用户通过注入恶意代码的方式攻击php网站。php作为一种广泛使用的开源脚本语言,在全球的网站开发中占有非常重要的地位。然而,也正因为它的普及性,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值