关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
关于PHP应用程序的安全,咱们往往简单忽略,或许采纳的办法并不妥当。这儿给咱们供给个通用防打针防跨站的小程序,仅供咱们参阅。
PHP安全防备程序模型
/* PHP防注入跨站V1.0
##################联络方式##################
Author: menzhi007 [S.S.F.]
Email: menzhi007@163.com
Blog: http://hi.baidu.com/menzhi007
##################运用说明##################
在您的页面顶部增加: require(“menzhi_injection.php”);
即可完成通用防止SQL注入,以及XSS跨站缝隙。
##################缺点以及改善##################
程序还有许多缺点,期望咱们能协助改善
##################参阅以及道谢##################
Neeao'ASP SQL通用防注入程序 V3.0
部分代码参阅自Discuz!
*/
error_reporting(0);
define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection = explode("|",$menzhi_injection);
foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
foreach($$_request as $_key => $_value) {
//$_value = strtolower($_value);
$_key{0} != '_' && $$_key = daddslashes($_value);
foreach($menzhi_injection as $kill_key => $kill_value) {
if(substr_count($_value,$kill_value)>0) {
echo "";
unset($_value);
exit();
}
}
//echo "
".$_value;
}
}
function daddslashes($string) {
if(!MAGIC_QUOTES_GPC) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val);
}
} else {
$string = addslashes($string);
}
}
$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', ''), array('&', '"', ''), $string));
return $string;
}
?>
#p#运用说明
在您的页面顶部增加:“require(“menzhi_injection.php”);” , 即可完成通用防止SQL注入,以及XSS跨站缝隙。调用本程序,咱们运用require() 而不运用include() ,由于require()调用文件假如犯错,将停止程序运转,include()并不理睬。并且require()调用文件时,程序一运转,会先调用外本文件。而inculde()则是运转到该行时才开端履行。依据函数特性,咱们挑选require()。 您还能够依据实际需求自行增加或许删去$menzhi_injection变量中的过滤字符,来到达更好的防护作用。 再者您能够自行修正代码,或许会有有意外收成。一般打针都能够防护,以下测验仅供戏弄,下面是对一句话木马的测验作用:
嘿嘿,动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这仅仅提起咱们爱好的噱头,请自行测验吧。
缺点以及待改善
由于此程序仅仅外部调用,仅仅处理了外部提交的变量,并没有对您的应用程序作体系分析,所以存在许多局限性,请慎重运用。 关于运用GBK编码的程序,还存在双字节编码缝隙危险,本程序尽管能够处理该缝隙。但遏止这些缝隙,仍是需求从本源做起。需求处理数据库衔接文件,咱们能够增加 character_set_client=binary 。Discuz!7.0的数据库衔接类db_mysql.class.php写的就十分不错,咱们能够参阅学习。当然这些并不是这个小程序所能涉及到的领域。
并且此程序并没有过滤 $_SERVER $_ENV $_FILES体系变量。比方关于$_SERVER['HTTP_X_FORWARDED_FOR']体系获取IP时,黑客能够经过绑架修正HTTP原始恳求包来更改其值,本程序是能够处理这些缝隙。可是作为程序员咱们需求的是从本源就对外部变量处理,防患于未然,有备无患吧。
程序很马虎,欢迎咱们测验运用,有什么定见主张直接联络我吧。
结束语
***祝咱们学习有成,工作顺利,向一切辛勤工作的PHPers问候。
【修改引荐】
- 防止十大常见网络应用程序安全过错
- 应用程序安全从开发阶段开端
- Web应用程序安全性问题实质解密
知优网 » php应用程序安全防备技术研究(php安全攻防)