php应用程序安全防范技术研究
2024-09-17 本站作者 【 字体:大 中 小 】
比特网专家特稿:关于应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
PHP安全防范程序模型
/* PHP防注入跨站V1.0
##################联系方式##################
Author: menzhi007 S.S.F.
Email: menzhi007@
##################使用说明##################
在您的页面顶部添加: require"";
即可实现通用防止SQL注入,以及XSS跨站漏洞。
##################缺陷以及改进##################
程序还有很多缺陷,希望大家能帮助改进
##################参考以及鸣谢##################
Neeao'ASP SQL通用防注入程序 V3.0
部分代码参考自Discuz!
error_reporting0;
define'MAGIC_QUOTES_GPC', get_magic_quotes_gpc;
$menzhi_injection="'|;|and|||exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection = explode"|",$menzhi_injection;
foreacharray'_GET', '_POST', '_COOKIE','_REQUEST' as $_request
foreach$$_request as $_key = $_value
//$_value = strtolower$_value;
$_key0 != '_' $$_key = daddslashes$_value;
foreach$menzhi_injection as $kill_key = $kill_value
ifsubstr_count$_value,$kill_value0
echo "";
unset$_value;
//echo "
".$_value;
function daddslashes$string
if!MAGIC_QUOTES_GPC
ifis_array$string
foreach$string as $key = $val
$string$key = daddslashes$val;
$string = addslashes$string;
$string = preg_replace'/#\d3,5|xa-fA-F0-94;/', '\\1',str_replacearray'', '"', '', '', array'', '"', '', '', $string;
return $string;
使用说明
在您的页面顶部添加:"require"";" , 即可实现通用防止SQL注入,以及XSS跨站漏洞。调用本程序,我们使用require 而不使用include ,因为require调用文件如果出错,将终止程序运行,include并不理会。并且require调用文件时,程序一运行,会先调用外本文件。而inculde则是运行到该行时才开始执行。基于函数特性,我们选择require。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符,来达到更好的防御效果。 再者您可以自行修改代码,或许会有有意外收获。普通注射都可以防御,以下测试仅供调侃,下面是对一句话木马的测试效果:
嘿嘿,动心了就在您的页面顶部调用吧。记住是"require"";"哦。这只是提起大家兴趣的噱头,请自行测试吧。
缺陷以及待改进
由于此程序只是外部调用,只是处理了外部提交的变量,并没有对您的应用程序作系统分析,所以存在很多局限性,请谨慎使用。 对于使用GBK编码的程序,还存在双字节编码漏洞风险,本程序虽然可以处理该漏洞。但遏制这些漏洞,还是需要从根源做起。需要处理连接文件,我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类写的就非常不错,大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。
而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER'HTTP_X_FORWARDED_FOR'系统获取IP时,黑客可以通过劫持修改HTTP原始请求包来更改其值,本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理,防患于未然,未雨绸缪吧。
程序很潦草,欢迎大家测试使用,有什么意见建议直接联系我吧。
结束语
最后祝大家学习有成,工作顺利,向所有辛勤工作的PHPers致敬。
猜你喜欢
恋与深空男主语音在哪听
0 英雄联盟手游先知的垂饰介绍
0 光遇发号施令的国王先祖兑换物品一览
0 这一箭汇聚了世界特洛伊游侠汉化版下载发布
0 光遇阿珍爱上了阿强乐谱分享
0 第五人格最佳阵容搭配
0 王者荣耀孙悟空零号赤焰及零号机甲皮肤价格介绍,两款新皮肤上线时间分析
0 崩铁2.0情报汇总!新年额外送十连,罗刹终于要复刻啦
0 明日方舟专精时技能一览,明日方舟专精技能一览
0 企业微信如何取消星标联系人
0 
2024去云南旅游最佳路线 云南旅游的最佳路线安排
2024最适合穷游的12个地方 一个人穷游去哪里好
2024桂林必去五个景点 桂林旅游必看景点
2024清明家庭旅游最佳去处 清明节去哪里玩比较好
张家界旅游必去景区 张家界旅游景点推荐
2024重庆旅游攻略 2024年重庆旅游景点
西安旅游攻略自由行路线推荐 第一次去西安旅游攻略
2024昆明旅游攻略景点大全 昆明有什么好玩的地方推荐
成都旅游必去十大景点推荐 四川成都最值得去的十大景点
2024山西旅游必去十大景点 山西必去景点攻略地
