php 应用程序安全防范技术研究
作者:bea
PHP安全防范程序模型 代码如下: /* PHP防注入跨站V1.0 在您的页面顶部添加: require(“menzhi_injection.php”); 即可实现通用防止SQL注入,以及XSS跨站漏洞。 ##################缺陷以及改进################## 程序还有很多缺陷,希望大家能帮助改进 ##################参考以及鸣谢################## Neeao'ASP
PHP安全防范程序模型
代码如下:
/* PHP防注入跨站V1.0
在您的页面顶部添加: require(“menzhi_injection.php”);
即可实现通用防止SQL注入,以及XSS跨站漏洞。
##################缺陷以及改进##################
程序还有很多缺陷,希望大家能帮助改进
##################参考以及鸣谢##################
Neeao'ASP SQL通用防注入程序 V3.0
部分代码参考自Discuz!
*/
error_reporting(0);
define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection = explode("|",$menzhi_injection);
foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
foreach($$_request as $_key => $_value) {
//$_value = strtolower($_value);
$_key{0} != '_' && $$_key = daddslashes($_value);
foreach($menzhi_injection as $kill_key => $kill_value) {
if(substr_count($_value,$kill_value)>0) {
echo "";
unset($_value);
exit();
}
}
//echo "
".$_value;
}
}
function daddslashes($string) {
if(!MAGIC_QUOTES_GPC) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val);
}
} else {
$string = addslashes($string);
}
}
$string = preg_replace('/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/', '&\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));
return $string;
}
?>
使用说明
在您的页面顶部添加:“require(“menzhi_injection.php”);” , 即可实现通用防止SQL注入,以及XSS跨站漏洞。调用本程序,我们使用require() 而不使用include() ,因为require()调用文件如果出错,将终止程序运行,include()并不理会。并且require()调用文件时,程序一运行,会先调用外本文件。而inculde()则是运行到该行时才开始执行。基于函数特性,我们选择require()。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符,来达到更好的防御效果。 再者您可以自行修改代码,或许会有有意外收获。普通注射都可以防御,以下测试仅供调侃,下面是对一句话木马的测试效果:
嘿嘿,动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这只是提起大家兴趣的噱头,请自行测试吧。
缺陷以及待改进
由于此程序只是外部调用,只是处理了外部提交的变量,并没有对您的应用程序作系统分析,所以存在很多局限性,请谨慎使用。 对于使用GBK编码的程序,还存在双字节编码漏洞风险,本程序虽然可以处理该漏洞。但遏制这些漏洞,还是需要从根源做起。需要处理数据库连接文件,我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类db_mysql.class.php写的就非常不错,大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。
而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER['HTTP_X_FORWARDED_FOR']系统获取IP时,黑客可以通过劫持修改HTTP原始请求包来更改其值,本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理,防患于未然,未雨绸缪吧。
程序很潦草,欢迎大家测试使用,有什么意见建议直接联系我吧。
结束语
最后祝大家学习有成,工作顺利,向所有辛勤工作的PHPers致敬。
有用 | 无用
代码如下:
/* PHP防注入跨站V1.0
在您的页面顶部添加: require(“menzhi_injection.php”);
即可实现通用防止SQL注入,以及XSS跨站漏洞。
##################缺陷以及改进##################
程序还有很多缺陷,希望大家能帮助改进
##################参考以及鸣谢##################
Neeao'ASP SQL通用防注入程序 V3.0
部分代码参考自Discuz!
*/
error_reporting(0);
define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection = explode("|",$menzhi_injection);
foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
foreach($$_request as $_key => $_value) {
//$_value = strtolower($_value);
$_key{0} != '_' && $$_key = daddslashes($_value);
foreach($menzhi_injection as $kill_key => $kill_value) {
if(substr_count($_value,$kill_value)>0) {
echo "";
unset($_value);
exit();
}
}
//echo "
".$_value;
}
}
function daddslashes($string) {
if(!MAGIC_QUOTES_GPC) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val);
}
} else {
$string = addslashes($string);
}
}
$string = preg_replace('/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/', '&\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));
return $string;
}
?>
使用说明
在您的页面顶部添加:“require(“menzhi_injection.php”);” , 即可实现通用防止SQL注入,以及XSS跨站漏洞。调用本程序,我们使用require() 而不使用include() ,因为require()调用文件如果出错,将终止程序运行,include()并不理会。并且require()调用文件时,程序一运行,会先调用外本文件。而inculde()则是运行到该行时才开始执行。基于函数特性,我们选择require()。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符,来达到更好的防御效果。 再者您可以自行修改代码,或许会有有意外收获。普通注射都可以防御,以下测试仅供调侃,下面是对一句话木马的测试效果:
嘿嘿,动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这只是提起大家兴趣的噱头,请自行测试吧。
缺陷以及待改进
由于此程序只是外部调用,只是处理了外部提交的变量,并没有对您的应用程序作系统分析,所以存在很多局限性,请谨慎使用。 对于使用GBK编码的程序,还存在双字节编码漏洞风险,本程序虽然可以处理该漏洞。但遏制这些漏洞,还是需要从根源做起。需要处理数据库连接文件,我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类db_mysql.class.php写的就非常不错,大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。
而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER['HTTP_X_FORWARDED_FOR']系统获取IP时,黑客可以通过劫持修改HTTP原始请求包来更改其值,本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理,防患于未然,未雨绸缪吧。
程序很潦草,欢迎大家测试使用,有什么意见建议直接联系我吧。
结束语
最后祝大家学习有成,工作顺利,向所有辛勤工作的PHPers致敬。
有用 | 无用
猜你喜欢
您可能感兴趣的文章:
- php面向对象全攻略 (十六) 对象的串行化
- php面向对象全攻略 (十五) 多态的应用
- php面向对象全攻略 (十四) php5接口技术
- php面向对象全攻略 (十二) 抽象方法和抽象类
- php面向对象全攻略 (十一)__toString()用法 克隆对象 __call处理调用错误
- php面向对象全攻略 (十) final static const关键字的使用
- php面向对象全攻略 (九)访问类型
- php面向对象全攻略 (八)重载新的方法
- php面向对象全攻略 (七) 继承性
- php面向对象全攻略 (六)__set() __get() __isset() __unset()的用法
- php面向对象全攻略 (五) 封装性
- php面向对象全攻略 (四)构造方法与析构方法
- php面向对象全攻略 (三)特殊的引用“$this”的使用
- php面向对象全攻略 (二) 实例化对象 使用对象成员
- php面向对象全攻略 (一) 面向对象基础知识
- PHP5 操作MySQL数据库基础代码
- PHP 字符截取 解决中文的截取问题,不用mb系列
- php 生成饼图 三维饼图
- php 不同编码下的字符串长度区分