Chinaunix首页 | 论坛 | 博客

网站运维与管理cyz.blog.chinaunix.net

首页 |  博文目录 |  关于我

ly_cyz

  • 博客访问: 271928
  • 博文数量: 188
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: -30
  • 用 户 组: 普通用户
  • 注册时间: 2017-03-29 11:17
文章分类

全部博文(188)

文章存档

2013年(8)

2012年(5)

2011年(13)

2010年(26)

2009年(63)

2008年(20)

2007年(32)

2006年(21)

我的朋友
最近访客
推荐博文
相关博文
简单的 php 防注入代码

分类: 网络与安全

2011-04-24 18:04:27

 

    首先将php.ini里的 magic_quotes_gpc 设置为On 。提交的变量中所有的 ' (单引号), " (双引号), (反斜线) and 空字符会自动转为含有反斜线的转义字符

介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可:

防注入代码1:
//要过滤的非法字符
$ArrFiltrate=array("‘",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate)
{
 foreach ($ArrFiltrate as $key=>$value)
 {
  if (eregi($value,$StrFiltrate))
  {
   return true;
  }
 }
 return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge))
{
 $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}
else
{
 foreach($HTTP_POST_VARS as $key=>$value)
 {
  $ArrPostAndGet[]=$value;
 }
 foreach($HTTP_GET_VARS as $key=>$value)
 {
  $ArrPostAndGet[]=$value;
 }
}
//验证开始
foreach($ArrPostAndGet as $key=>$value)
{
 if (FunStringExist($value,$ArrFiltrate))
 {
  echo "";
  if (emptyempty($StrGoUrl))
  {
   echo "";
  }
  else
  {
   echo "";
  }
  exit;
 }
}
?>
 
 
防注入代码2:
/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=>$get_var)
{
if (is_numeric($get_var)) {
$get[strtolower($get_key)] = get_int($get_var);
} else {
$get[strtolower($get_key)] = get_str($get_var);
}
}
/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
 if (is_numeric($post_var))
 {
  $post[strtolower($post_key)] = get_int($post_var);
 }
 else
 {
  $post[strtolower($post_key)] = get_str($post_var);
 }
}
/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
 return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
 if (!get_magic_quotes_gpc())
 {
  return addslashes($string);
 }
 return $string;
}
?>
 
原文:
阅读(1213) | 评论(0) | 转发(0) |
0

上一篇:处理 SSI 文件时出错的解决方法

下一篇:HYPER-V 安装linux集成服务包和鼠标驱动包

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6