四虎精品视频-四虎精品成人免费网站-四虎黄色网-四虎国产视频-国产免费91-国产蜜臀97一区二区三区

php 應(yīng)用程序安全防范技術(shù)研究

php安全防范程序模型
復(fù)制代碼 代碼如下:
  /* php防注入跨站V1.0
  在您的頁(yè)面頂部添加: require(“menzhi_injection.php”);
  即可實(shí)現(xiàn)通用防止SQL注入,以及XSS跨站漏洞。
  ##################缺陷以及改進(jìn)##################
  程序還有很多缺陷,希望大家能幫助改進(jìn)
  ##################參考以及鳴謝##################
  Neeao'ASP SQL通用防注入程序 V3.0
  部分代碼參考自Discuz!
  */
  error_reporting(0);
  define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
  $menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
  $menzhi_injection = explode("|",$menzhi_injection);
  foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
  foreach($$_request as $_key => $_value) {
  //$_value = strtolower($_value);
  $_key{0} != '_' && $$_key = daddslashes($_value);
  foreach($menzhi_injection as $kill_key => $kill_value) {
  if(substr_count($_value,$kill_value)>0) {
  echo "";
  unset($_value);
  exit();
  }
  }
  //echo "
  ".$_value;
  }
  }
  function daddslashes($string) {
  if(!MAGIC_QUOTES_GPC) {
  if(is_array($string)) {
  foreach($string as $key => $val) {
  $string[$key] = daddslashes($val);
  }
  } else {
  $string = addslashes($string);
  }
  }
  $string = preg_replace('/&((#(/d{3,5}|x[a-fA-F0-9]{4}));)/', '&//1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));
  return $string;
  }
  ?>

  使用說(shuō)明
  在您的頁(yè)面頂部添加:“require(“menzhi_injection.php”);” , 即可實(shí)現(xiàn)通用防止SQL注入,以及XSS跨站漏洞。調(diào)用本程序,我們使用require() 而不使用include() ,因?yàn)閞equire()調(diào)用文件如果出錯(cuò),將終止程序運(yùn)行,include()并不理會(huì)。并且require()調(diào)用文件時(shí),程序一運(yùn)行,會(huì)先調(diào)用外本文件。而inculde()則是運(yùn)行到該行時(shí)才開始執(zhí)行。基于函數(shù)特性,我們選擇require()。 您還可以根據(jù)實(shí)際需要自行增加或者刪除$menzhi_injection變量中的過(guò)濾字符,來(lái)達(dá)到更好的防御效果。 再者您可以自行修改代碼,或許會(huì)有有意外收獲。普通注射都可以防御,以下測(cè)試僅供調(diào)侃,下面是對(duì)一句話木馬的測(cè)試效果:  
1
  嘿嘿,動(dòng)心了就在您的頁(yè)面頂部調(diào)用吧。記住是“require(“menzhi_injection.php”);”哦。這只是提起大家興趣的噱頭,請(qǐng)自行測(cè)試吧。
  缺陷以及待改進(jìn)
  由于此程序只是外部調(diào)用,只是處理了外部提交的變量,并沒(méi)有對(duì)您的應(yīng)用程序作系統(tǒng)分析,所以存在很多局限性,請(qǐng)謹(jǐn)慎使用。 對(duì)于使用GBK編碼的程序,還存在雙字節(jié)編碼漏洞風(fēng)險(xiǎn),本程序雖然可以處理該漏洞。但遏制這些漏洞,還是需要從根源做起。需要處理數(shù)據(jù)庫(kù)連接文件,我們可以添加 character_set_client=binary 。Discuz!7.0的數(shù)據(jù)庫(kù)連接類db_mysql.class.php寫的就非常不錯(cuò),大家可以參考借鑒。當(dāng)然這些并不是這個(gè)小程序所能涉及到的范疇。
  而且此程序并沒(méi)有過(guò)濾 $_SERVER $_ENV $_FILES系統(tǒng)變量。比如對(duì)于$_SERVER['HTTP_X_FORWARDED_FOR']系統(tǒng)獲取IP時(shí),黑客可以通過(guò)劫持修改HTTP原始請(qǐng)求包來(lái)更改其值,本程序是可以處理這些漏洞。但是作為程序員我們需要的是從根源就對(duì)外部變量處理,防患于未然,未雨綢繆吧。
  程序很潦草,歡迎大家測(cè)試使用,有什么意見建議直接聯(lián)系我吧。
  結(jié)束語(yǔ)
  最后祝大家學(xué)習(xí)有成,工作順利,向所有辛勤工作的phpers致敬。

php技術(shù)php 應(yīng)用程序安全防范技術(shù)研究,轉(zhuǎn)載需保留來(lái)源!

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。

主站蜘蛛池模板: 8号房间| 舌吻做爰视频舌吻| 黑色纳粹电影完整版| 汤唯和梁朝伟拍戏原版| 漫画头像女生可爱| 查宁·塔图姆| 被抛弃的青春1982| 《求知报》答案| 黄色网大全| 苏州标志性建筑大裤衩| 权欲| 新女婿时代电视剧免费观看| 啊摇篮电影| 免费取姓名| 你的名字豆瓣| 电视剧《繁华》免费观看全集| 影片《边境》| 2024年援疆职称评审最新政策 | 一人比划一人猜100个| 乱世伦情 电影| 管路通| 河北卫视节目表| 《起风了》数字简谱| 简西摩尔| 釜山电影节| 变形金刚1免费完整版在线观看| 孽吻 电视剧| 霸王茶姬喝了睡不着的原因| 我的漂亮的朋友| 黄土高坡歌词| karina hart| 彻夜之歌为什么被禁| 桥梁工程师职称论文| karina hart| 风云雄霸天下| 二年级拍手歌生字组词| 广西百色地图| 程皓枫| 男操女视频免费| 火船 电影| 疯狂试爱四|