首页 / PHP / 比较好用的PHP防注入漏洞过滤函数代码_PHP教程

比较好用的PHP防注入漏洞过滤函数代码_PHP教程

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了比较好用的PHP防注入漏洞过滤函数代码_PHP教程，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2129字，纯文字阅读大概需要4分钟。

内容图文

代码如下:


//PHP整站防注入程序，需要在公共文件中require_once本文件 
//判断magic_quotes_gpc状态 
if (@get_magic_quotes_gpc ()) { 
$_GET = sec ( $_GET ); 
$_POST = sec ( $_POST ); 
$_COOKIE = sec ( $_COOKIE ); 
$_FILES = sec ( $_FILES ); 
} 
$_SERVER = sec ( $_SERVER ); 
function sec(&$array) { 
//如果是数组，遍历数组，递归调用 
if (is_array ( $array )) { 
foreach ( $array as $k => $v ) { 
$array [$k] = sec ( $v ); 
} 
} else if (is_string ( $array )) { 
//使用addslashes函数来处理 
$array = addslashes ( $array ); 
} else if (is_numeric ( $array )) { 
$array = intval ( $array ); 
} 
return $array; 
} 
//整型过滤函数 
function num_check($id) { 
if (! $id) { 
die ( '参数不能为空！' ); 
} //是否为空的判断 
else if (inject_check ( $id )) { 
die ( '非法参数' ); 
} //注入判断 
else if (! is_numetic ( $id )) { 
die ( '非法参数' ); 
} 
//数字判断 
$id = intval ( $id ); 
//整型化 
return $id; 
} 
//字符过滤函数 
function str_check($str) { 
if (inject_check ( $str )) { 
die ( '非法参数' ); 
} 
//注入判断 
$str = htmlspecialchars ( $str ); 
//转换html 
return $str; 
} 
function search_check($str) { 
$str = str_replace ( "_", "\_", $str ); 
//把"_"过滤掉 
$str = str_replace ( "%", "\%", $str ); 
//把"%"过滤掉 
$str = htmlspecialchars ( $str ); 
//转换html 
return $str; 
} 
//表单过滤函数 
function post_check($str, $min, $max) { 
if (isset ( $min ) && strlen ( $str ) < $min) { 
die ( '最少$min字节' ); 
} else if (isset ( $max ) && strlen ( $str ) > $max) { 
die ( '最多$max字节' ); 
} 
return stripslashes_array ( $str ); 
} 
//防注入函数 
function inject_check($sql_str) { 
return eregi ( 'select|inert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|UNION|into|load_file|outfile', $sql_str ); 
// www.gxlcms.com 进行过滤，防注入 
} 
function stripslashes_array(&$array) { 
if (is_array ( $array )) { 
foreach ( $array as $k => $v ) { 
$array [$k] = stripslashes_array ( $v ); 
} 
} else if (is_string ( $array )) { 
$array = stripslashes ( $array ); 
} 
return $array; 
} 
?> 


http://www.bkjia.com/PHPjc/325361.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/325361.htmlTechArticle 代码如下:
?PHP //PHP整站防注入程序，需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = se...

内容总结

以上是互联网集市为您收集整理的比较好用的PHP防注入漏洞过滤函数代码_PHP教程全部内容，希望文章能够帮你解决比较好用的PHP防注入漏洞过滤函数代码_PHP教程所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/169529.html

来源：【匿名】

【上一篇】PHP中使用mktime获取时间戳的一个黑色幽默分析_PHP教程【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【比较好用的PHP防注入漏洞过滤函数代码_PHP教程】教程文章相关的互联网学习教程文章

phpcms前台任意代码执行漏洞(php<5.3)【代码】

phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞 /phpsso_server/phpcms/libs/functions/global.func.php/** * 将字符串转换为数组 * * @param string $data 字符串 * @return array 返回数组格式，如果，data为空，则返回空数组 */function string2array($data) { if($data == ‘‘‘‘) returnarray(); eval("\$array = $data;"); return$array; } 在文件/phpcms/modules/vote/in...

PHP漏洞全解(三)-客户端脚本植入【图】

客户端脚本植入(Script Insertion)，是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后，攻击者所植入的脚本就会被执行，进而开始攻击。可以被用作脚本植入的HTML标签一般包括以下几种:1、<script>标签标记的javascript和vbscript等页面脚本程序。在<script>标签内可以指定js程序代码，也可以在src属性内指定js文件的URL路径2、<object>标签标记的对象。这些对象是java applet、多媒体文件和...

对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析【代码】

ThinkPHP官网上曾有一段公告指出，在ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件根据官方文档对"防止SQL注入"的方法解释(参考http://doc.thinkphp.cn/manual/sql_injection.html) 使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果: $Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",array($id,$username,$xx))->select();或者 $Model->where...

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法【图】

漏洞名称：dedecms cookies泄漏导致SQL漏洞补丁文件：/member/article_add.php补丁来源：云盾自研漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。解决方法搜索代码：if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))如图：修改代码为：if (empty($de...

php反序列化漏洞-咖面Amber【代码】【图】

https://www.bilibili.com/video/BV1Ft41187ZXphp反序列化原理php序列化与反序列化基础序列化与反序列化序列化:将变量转换为可保存或传输的字符串的过程反序列化:在适当的时候把这个字符串转化为原来的变量使用php序列化与反序列化函数serialize:可以将变量转换为字符串并且在转换中可以保存当前变量的值unserialize:可以将serialize生成的字符串变换回变量php进行序列化的目的是保存一个对象方便以后重用类,变量,方法,对象<?php//...

第八章——第二节--文件包含漏洞篇之PHP相关参数介绍

1、PHP配置文件(PHP.ini)介绍　　php.ini是php的配置文件，里面包含了众多配置，在php启动时被读取。自php5.3.0起，PHP支持每个目录的.htaccess风格的ini文件。此类文件仅被CD/FASTCGL SAPL处理。如果使用apache，则用.htaccess文件同样效果。2、PHP.ini的配置语法a）指令=值b) 指令名大小写敏感3、PHP.ini常见重要配置a) 短标签： short_open_tag = on 　　这项配置设置为on 的话。允许php使用短标签，如<? 短标签形式<?php 完整标...

php之文件类型解析漏洞防御与攻击

php在处理文件上传时，经常可以用到下面几种方式来判断文件的类型1.通过文件名后缀，不安全，非常容易欺骗2.通过mime判断，部分类型的文件通过修改文件后缀名，也可以欺骗服务器3.通过头字节判断文件类型，但是判断范围有限，比如docx/xlsx等新的文档，通过头信息判断时，其实是一个zip包PHP通过读取文件头部两个字节判断文件真实类型及其应用示例function checkFileType($fileName){ $file = fopen($fileName, "rb"); ...

CVE-2016-7124php反序列化漏洞复现【代码】【图】

CVE-2016-7124php反序列化漏洞复现0X00漏洞原因如果存在__wakeup方法，调用 unserilize() 方法前则先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP（PHP：HypertextPreprocessor，PHP：超文本预处理器）是PHPGroup和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发，支持多种数据...

Windows下PHP的任意文件执行漏洞

 受影响系统：　　PHP version 4.1.1 under Windows　　PHP version 4.0.4 under Windows　　　　漏洞描述：　　　　在Windows下的PHP，通过PHP.EXE，攻击者可以让任何文件作为一个php文件，即使这个文件的扩展名不是php。比如，上传一个文件，但是扩展名是mp3,txt,或者gif等等，然后要求PHP去执行它。　　例如：　　上传一个gif文件，但是实际上是一个php脚本文件,文件内容如下：　　...

应用安全 - 编程语言漏洞 - PHP语言漏洞汇总【代码】

CVE-2019-11043Date： 2019.9.16类型：远程代码执行前置条件：Nginx + fastcgi + php-fpm 配置文件信息如下： location ~ [^/]\.php(/|$) {...fastcgi_split_path_info ^(.+?\.php)(/.*)$;fastcgi_param PATH_INFO $fastcgi_path_info;fastcgi_pass php:9000;... }影响范围：version>php 7, php5(EXP暂无)PoC:https://github.com/neex/phuip-fpizdamgo run ."http://ip:8080/index.php"ExP:http://ip:8080/index.php?a=id...

php代码审计之上传漏洞【图】

空格20改为00 原文：https://www.cnblogs.com/ahacker15/p/12466759.html

php _weakup()反序列化漏洞【代码】

概念&原理序列化就是使用 serialize() 将对象用字符串的方式进行表示；反序列化是使用 unserialize() 将序列化的字符串构造成相应的对象，为序列化的逆过程。序列化的对象可以是class或者是Array\String对象序列化与反序列化的作用对象是在内存中存储的数据类型，其寿命随着生成程序的终止而终止。为了将对象的状态保存下来，在需要的时候将其恢复，使用序列化将对象转化为二进制字符串进行保存。用于对象的传递。对象序列化示例...

配合php伪协议利用文件包含漏洞【图】

文章来源：https://blog.csdn.net/zpy1998zpy/article/details/80598768?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase php支持多种封装协议，这些协议常被CTF出题中与文件包含漏洞结合，这里做个小总结。实验用的是DVWA平台，low级别，phpstudy中的设置为5.4.45版本，设置...

如何对PHP程序中的常见漏洞进行攻击

来源:Chinaasp 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，原文可以在http://www.securereality.com.au/stu...arlet.txt找到。由于原文比较长，而且有相当一部分是介绍文章的背景或PHP的基础知识，没有涉及到PHP安全方面的内容，因此我没有翻译。如果你想了解这方面的知识，请参考原文。文章主...

ThinkPHP 2.x 任意代码执行漏洞【代码】【图】

ThinkPHP 2.x 任意代码执行漏洞ThinkPHP 2.x 任意代码执行漏洞ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：$res = preg_replace(‘@(\w+)‘.$depr.‘([^‘.$depr.‘\/]+)@e‘, ‘$var[\‘\\1\‘]="\\2";‘, implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞，也存在这个漏洞。漏洞环境我们先下载环境，在github有别人直接搭建好的...

首页 / PHP / 比较好用的PHP防注入漏洞过滤函数代码_PHP教程

比较好用的PHP防注入漏洞过滤函数代码_PHP教程

内容导读

内容图文

内容总结

内容备注

内容手机端

【比较好用的PHP防注入漏洞过滤函数代码_PHP教程】教程文章相关的互联网学习教程文章

phpcms前台任意代码执行漏洞(php<5.3)【代码】

PHP漏洞全解(三)-客户端脚本植入【图】

对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析【代码】

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法【图】

php反序列化漏洞-咖面Amber【代码】【图】

第八章——第二节--文件包含漏洞篇之PHP相关参数介绍

php之文件类型解析漏洞防御与攻击

CVE-2016-7124php反序列化漏洞复现【代码】【图】

Windows下PHP的任意文件执行漏洞

应用安全 - 编程语言漏洞 - PHP语言漏洞汇总【代码】

php代码审计之上传漏洞【图】

php _weakup()反序列化漏洞【代码】

配合php伪协议利用文件包含漏洞【图】

如何对PHP程序中的常见漏洞进行攻击

ThinkPHP 2.x 任意代码执行漏洞【代码】【图】

PHP - 相关标签

漏洞 - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程