function funstringexist($strfiltrate,$arrfiltrate)
{
foreach ($arrfiltrate as $key=>$value)
{
if (eregi($value,$strfiltrate))
{
return true;
}
}
return false;
}
代码如下
<?php教程
/*************************
说明:
认清传递的变量中是或不是带有不法字符
如$_post、$_get
功能:
防注入
**************************/
//要过滤的地下字符 那些过滤的字符 还是能追加
$arrfiltrate=array(“‘”,”;”,”union”);
//出错后要跳转的url,不填则默许前一页
$strgourl=””;
//是或不是存在数组中的值
function funstringexist($strfiltrate,$arrfiltrate){
foreach ($arrfiltrate as $key=>$value){
if (eregi($value,$strfiltrate)){
return true;
}
}
return false;
}//合并$_post 和 $_get
if(function_exists(array_merge)){
$arrpostandget=array_merge($http_post_vars,$http_get_vars);
}else{
foreach($http_post_vars as $key=>$value){
$arrpostandget[]=$value;
}
foreach($http_get_vars as $key=>$value){
$arrpostandget[]=$value;
}
}//验证开端
foreach($arrpostandget as $key=>$value){
if (funstringexist($value,$arrfiltrate)){
echo “<script
language=”网页特效”>alert(“非法字符”);</script>”;
if (empty($strgourl)){
echo “<script
language=”javascript”>history.go(-1);</script>”;
}else{
echo “<script
language=”javascript”>window.location=””.$strgourl.””;</script>”;
}
exit;
}
}
?>
澳门新萄京,易利用下边包车型客车这么些函数,就足以使得过滤了。
看一下关于注入细节
$arrfiltrate=array(“update”,”delete”,”selert”,”drop”,”exec”,”cast”,”‘”,”union”);
//出错后要跳转的url,不填则暗中认可前一页
$strgourl=””;
//是或不是留存数组中的值
function funstringexist($strfiltrate,$arrfiltrate){
foreach ($arrfiltrate as $key=>$value){
if (eregi($value,$strfiltrate)){
return true;
}
}
return false;
}
//合并$_post 和 $_get
if(function_exists(array_merge)){
$arrpostandget=array_merge($http_post_vars,$http_get_vars);
}else{
foreach($http_post_vars as $key=>$value){
$arrpostandget[]=$value;
}
foreach($http_get_vars as $key=>$value){
$arrpostandget[]=$value;
}
}
//验证初始
foreach($arrpostandget as $key=>$value){
if (funstringexist($value,$arrfiltrate)){
echo ” “;
if (empty($strgourl)){
echo ” “;
}else{
echo ” “;
}
echo
“<script>alert(‘系统一检查测到地下字符!’);history.back();</script>”;
exit();
}
}
?>
代码如下
看重返错误了。因为她会以为alpha是二个变量。所以我们得在阿尔法上加引号。
如下
//防注入
首先是对服务器的平安设置,这里根本是php+mysql的平安设置和linux主机的平安设置。对php+mysql注射的警备,首先将magic_quotes_gpc设置为On,display_errors设置为Off,借使id型,我们利用intval()将其转换到整数类型,如代码:
代码如下
代码如下
hor where username=char(97,108,112,104,97)# and password=
x00
n
r
select * from alphaauthor where username
=0x616c706861%23# and password=
mysql_real_escape_string防sql注入只是防一些最中央的了,如若急需更庞大的防sql注入笔者可参照下边方法
代码如下
**************************/
//要过滤的非官方字符
$ArrFiltrate=array(”‘”,”;”,”union”);
//出错后要跳转的url,不填则暗中同意前一页
$StrGoUrl=””;
//是还是不是留存数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as
$key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}
//验证起先
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo “alert(/”Neeao提醒,违法字符/”);”;
if (empty($StrGoUrl)){
echo “history.go(-1);”;
}else{
echo “window.location=/””.$StrGoUrl.”/”;”;
}
exit;
}
}
?>
代码如下
自然也能够加php通用防注入代码:
/*************************
PHP通用防注入安全代码
说明:
认清传递的变量中是或不是含有不法字符
如$_POST、$_GET
功能:
防注入
代码如下
别的将协会者用户名和密码都应用md5加密,那样就会管用地防守了php的流入。
再有服务器和mysql也要加强部分有惊无险防范。
对此linux服务器的乌海设置:
加密口令,使用“/usr/sbin/authconfig”工具展开密码的shadow功能,对password拓展加密。
取缔访谈首要文件,步入linux命令分界面,在升迁符下输入:
#chmod 600 /etc/inetd.conf //改造文件属性为600
#chattr +I /etc/inetd.conf //保障文件属主为root
#chattr –I /etc/inetd.conf // 对该公文的转移做限定
取缔别的用户通过su命令改造为root用户
在su配置文件即/etc/pam.d/目录下的初始加多上面两行:
Auth sufficient /lib/security/pam_rootok.so debug
Auth required /lib/security/pam_whell.so group=wheel
去除全数的特殊帐户
#userdel lp等等 删除用户
#groupdel lp等等 删除组
取缔不接纳的suid/sgid程序
#find / -type f (-perm -04000 – o –perm -02000 ) -execls –lg {} ;
‘
“
x1a