360提供的Php防注入代码

最新推荐文章于 2021-03-11 08:49:03 发布
最新推荐文章于 2021-03-11 08:49:03 发布
阅读量839 收藏
点赞数
分类专栏: android 文章标签: 360 php database insert delete server
本文提供了一段PHP代码,用于通过自定义错误处理和正则表达式过滤来防止SQL注入攻击等非法操作。该代码展示了如何设置自定义错误处理器并过滤GET、POST及COOKIE中的潜在恶意输入。

原址:http://www.oschina.net/code/snippet_578512_14379

<?php

//Code By Safe3
function customError($errno, $errstr, $errfile, $errline)
{
echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ;
die();
}


set_error_handler("customError",E_ERROR);
$getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?Select|Update.+?SET|Insert\\s+INTO.+?VALUES|(Select|Delete).+?FROM|(Create|Alter|Drop|TRUNCATE)\\s+(TABLE|DATABASE)" ;
$postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?Select|Update.+?SET|Insert\\s+INTO.+?VALUES|(Select|Delete).+?FROM|(Create|Alter|Drop|TRUNCATE)\\s+(TABLE|DATABASE)" ;
$cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?Select|Update.+?SET|Insert\\s+INTO.+?VALUES|(Select|Delete).+?FROM|(Create|Alter|Drop|TRUNCATE)\\s+(TABLE|DATABASE)" ;
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){


if(is_array($StrFiltValue))
{
$StrFiltValue=implode($StrFiltValue);
}
if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
//slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
print "360websec notice:Illegal operation!" ;
exit();
}
}
//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){
StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){
StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){
StopAttack($key,$value,$cookiefilter);
}
/*
 if (file_exists('update360.php')) {
echo "请重命名文件update360.php,防止黑客利用<br/>";
die();
}
*/
function slog($logs)
{
$toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
$Ts=fopen($toppath,"a+");
fputs($Ts,$logs."\r\n");
fclose($Ts);
}
mysql绕过360_360webscan 防注入绕过(HPF)
weixin_32258691的博客
02-08 1270
生活总是需要一点新的色彩,最近看Mysql基于数据类型溢出的报错注入,又重新燃起了我以前对SQLi的激情。感觉自己还是很喜欢这个东西的。发现凡是 能和“绕过”有关系的(想了想,还真不包括那些硬件DEP ASLR啥的哈,脑子不够用 那个真爱不起)东西我都很喜欢,而且欲罢不能。所以找回来了之前绕过360webscan时的那个文件,看看防注入是否也能绕过(当然,这个已经被@phith0n利用$_SERV...
360提供php防sql注入代码修改类.zip
07-11
360提供PHP防SQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。如果小伙伴们有更好的解决方案,欢迎发布过来大家一起学习交流。
360提供Php版的防注入代码文件
10-29
360提供php防注入代码。支持保存日志到服务器,使用简单方便。有记录攻击日志到文本文件的功能,强烈推荐使用。
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
360提供php防注入代码
weixin_30596165的博客
09-14 416
<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ; die...
360提供php防sql注入代码修改类
05-02
本文将深入探讨360提供PHP防SQL注入代码修改类,以及如何通过此类来防范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
ASP源码—360通用ASP防护代码(防sql注入).zip
10-14
360通用ASP防护代码提供了一套预防策略,包括但不限于以下几点: 1. **输入验证**:对用户提交的数据进行严格的格式检查,确保输入符合预期的类型和格式。例如,如果一个字段应该是数字,那么可以使用函数检查输入...
360通用php防护代码
04-18
360通用php防护代码 -----------------使用方法------------------------------------------------------------------ 1.360_safe3.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一...
360通用php防护代码(使用操作详解)
10-27
这行代码的作用是在运行该页面前加载360安全防护代码,从而起到防注入和跨站脚本攻击(XSS)的保护。 对于整站的防护,则需要选择一个对所有页面都生效的公用文件,例如数据库连接文件config.inc.php,并在其中加入...
php过滤非法字符类
云烟阁
06-15 4452
<?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?
360webscan解决xss漏洞
05-26
解决360检查wordpress的xss漏洞问题
360通用防护 过滤用户输入的数据 实现防注
顶峰科技的专栏
03-26 1391
360通用防护 过滤用户输入的数据 实现防注  描述: 1、跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。 2、跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执
360webscan检测脚本可绕过
IT技术宅-北方的刀郎
03-21 4014
360webscan检测脚本可绕过2014-05-27     我来说两句       作者:phith0n收藏    我要投稿这个漏洞暴露出一个细节问题,可能会影响很多cms。这个靠大家发掘了。 借用cmseasy中的360webscan来说明。 其中有一个白名单函数: ?12345678910111213141516171819202122232425262728293031323334353
360webscan防注入脚本全面绕过
公众号shadow sock7
06-12 6189
参考: https://www.leavesongs.com/PENETRATION/360webscan-bypass.html http://www.moonsec.com/post-687.html http://www.mayter.cn/t/6927
360webscan.php,360webscan防御脚本绕过
weixin_34070493的博客
03-11 633
1:之前的漏洞描述里面有点知识理解错了,但是不影响结果,测试下360webscan的看能不能搞定2:在正则表达式里面,\s的理解有如下字符,在php,python以及c下面测试结果均为:0x09,0x0a,0x0b,0x0c,0x0d,0x20如下6个字符,3:在如下帖子中知名,mysql理解的whitespace有如下字符: 0x09,0x0a,0x0b,0x0c,0x0d,0x20,0xa0h...
好用的asp防SQL注入代码
yujiaping37的博客
08-17 3015
以下为引用的内容: dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|"
Webscan360的防御与绕过
zqsqrlqd的博客
03-31 2051
这两天给360做了一个webscan360的总结,结果补丁还没有出来,就被人公布到了91org上面,既然公开了,那我就做一个总结 首先我们贴上它最新的防御正则 \||\b(alert\(|confirm\(|expression\(|prompt\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\()|]*?\bon([a-z]{4,}
php post过滤,php过滤get和post的注入函数,记录攻击日志
weixin_39815600的博客
03-10 312
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){if(is_array($StrFiltValue)){$StrFiltValue=implode($StrFiltValue);}if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){slog("操作IP: ".$_SER...
360 php防sql注入代码
最新发布
02-05
为了防止SQL注入攻击,我们可以采取以下措施来保护我们的PHP代码。 1. 使用预处理语句:使用预处理语句可以防止SQL注入攻击。可以使用PDO(PHP Data Objects)或者MySQLi(MySQL Improved)扩展来执行预处理语句。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值