IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)編程PHP編程 → php應(yīng)用程序安全防范技術(shù)研究

php應(yīng)用程序安全防范技術(shù)研究

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(1)

  前言

  比特網(wǎng)專家特稿:關(guān)于PHP應(yīng)用程序的安全,我們往往容易疏忽,或者采取的措施并不得當(dāng)。這里給大家提供個通用防注射防跨站的小程序,僅供大家參考。

  PHP安全防范程序模型

  /* PHP防注入跨站V1.0

  ##################聯(lián)系方式##################

  Author: menzhi007 [S.S.F.]

  Email: [email protected]

  Blog: http://hi.baidu.com/menzhi007

  ##################使用說明##################

  在您的頁面頂部添加: require("menzhi_injection.php");

  即可實現(xiàn)通用防止SQL注入,以及XSS跨站漏洞。

  ##################缺陷以及改進##################

  程序還有很多缺陷,希望大家能幫助改進

  ##################參考以及鳴謝##################

  Neeao'ASP SQL通用防注入程序 V3.0

  部分代碼參考自Discuz!

  */

  error_reporting(0);

  define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());

  $menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";

  $menzhi_injection = explode("|",$menzhi_injection);

  foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {

  foreach($$_request as $_key => $_value) {

  //$_value = strtolower($_value);

  $_key{0} != '_' && $$_key = daddslashes($_value);

  foreach($menzhi_injection as $kill_key => $kill_value) {

  if(substr_count($_value,$kill_value)>0) {

  echo "";

  unset($_value);

  exit();

  }

  }

  //echo "

  ".$_value;

  }

  }

  function daddslashes($string) {

  if(!MAGIC_QUOTES_GPC) {

  if(is_array($string)) {

  foreach($string as $key => $val) {

  $string[$key] = daddslashes($val);

  }

  } else {

  $string = addslashes($string);

  }

  }

  $string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));

  return $string;

  }

  ?>

  使用說明

  在您的頁面頂部添加:"require("menzhi_injection.php");" , 即可實現(xiàn)通用防止SQL注入,以及XSS跨站漏洞。調(diào)用本程序,我們使用require() 而不使用include() ,因為require()調(diào)用文件如果出錯,將終止程序運行,include()并不理會。并且require()調(diào)用文件時,程序一運行,會先調(diào)用外本文件。而inculde()則是運行到該行時才開始執(zhí)行?;诤瘮?shù)特性,我們選擇require()。 您還可以根據(jù)實際需要自行增加或者刪除$menzhi_injection變量中的過濾字符,來達到更好的防御效果。 再者您可以自行修改代碼,或許會有有意外收獲。普通注射都可以防御,以下測試僅供調(diào)侃,下面是對一句話木馬的測試效果:

  1

  嘿嘿,動心了就在您的頁面頂部調(diào)用吧。記住是"require("menzhi_injection.php");"哦。這只是提起大家興趣的噱頭,請自行測試吧。

  缺陷以及待改進

  由于此程序只是外部調(diào)用,只是處理了外部提交的變量,并沒有對您的應(yīng)用程序作系統(tǒng)分析,所以存在很多局限性,請謹慎使用。 對于使用GBK編碼的程序,還存在雙字節(jié)編碼漏洞風(fēng)險,本程序雖然可以處理該漏洞。但遏制這些漏洞,還是需要從根源做起。需要處理數(shù)據(jù)庫連接文件,我們可以添加 character_set_client=binary 。Discuz!7.0的數(shù)據(jù)庫連接類db_mysql.class.php寫的就非常不錯,大家可以參考借鑒。當(dāng)然這些并不是這個小程序所能涉及到的范疇。

  而且此程序并沒有過濾 $_SERVER $_ENV $_FILES系統(tǒng)變量。比如對于$_SERVER['HTTP_X_FORWARDED_FOR']系統(tǒng)獲取IP時,黑客可以通過劫持修改HTTP原始請求包來更改其值,本程序是可以處理這些漏洞。但是作為程序員我們需要的是從根源就對外部變量處理,防患于未然,未雨綢繆吧。

  程序很潦草,歡迎大家測試使用,有什么意見建議直接聯(lián)系我吧。

  結(jié)束語

  最后祝大家學(xué)習(xí)有成,工作順利,向所有辛勤工作的PHPers致敬。

關(guān)鍵詞標(biāo)簽:php應(yīng)用程序安全防范

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法 plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法 2021年最好用的10款php開發(fā)工具推薦 2021年最好用的10款php開發(fā)工具推薦 php利用淘寶IP庫獲取用戶ip地理位置 php利用淘寶IP庫獲取用戶ip地理位置 在 PHP 中使用命令行工具 在 PHP 中使用命令行工具

相關(guān)下載

    人氣排行 詳解ucenter原理及第三方應(yīng)用程序整合思路、方法 plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法 PHP中防止SQL注入攻擊 PHP會話Session的具體使用方法解析 PHP運行出現(xiàn)Notice : Use of undefined constant 的解決辦法 PHP如何清空mySQL數(shù)據(jù)庫 CakePHP程序員必須知道的21條技巧 PHP采集圖片實例(PHP采集)