2. 程式人生 > 實用技巧 >分享一個php的防火牆,攔截SQL注入和xss

分享一個php的防火牆,攔截SQL注入和xss

阿新 發佈:2020-09-22

一個基於php的防火牆程式,攔截sql注入和xss攻擊等

安裝

composer require xielei/waf

使用說明

$waf = new \Xielei\Waf\Waf();
$waf->run();

自定義攔截規則

$rules = [
    '\.\./', //禁用包含 ../ 的引數
    '\<\?', //禁止php指令碼出現
    '\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入
    'select([\s\S]*?)(from|limit)', //防止sql注入
    '(?:(union([\s\S]*?)select))', //防止sql注入
    'having|updatexml|extractvalue', //防止sql注入
    'sleep\((\s*)(\d*)(\s*)\)', //防止sql盲注
    'benchmark\((.*)\,(.*)\)', //防止sql盲注
    'base64_decode\(', //防止sql變種注入
    '(?:from\W+information_schema\W)', //防止sql注入
    '(?:(?:current_)user|database|schema|connection_id)\s*\(', //防止sql注入
    '(?:etc\/\W*passwd)', //防止窺探linux使用者資訊
    'into(\s+)+(?:dump|out)file\s*', //禁用mysql匯出函式
    'group\s+by.+\(', //防止sql注入
    '(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(', //禁用webshell相關某些函式
    '(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/', //防止一些協議攻擊
    '\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[', //禁用一些內建變數,建議自行修改
    '\<(iframe|script|body|img|layer|div|meta|style|base|object|input)', //防止xss標籤植入
    '(onmouseover|onerror|onload|onclick)\=', //防止xss事件植入
    '\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)', //防止執行shell
    '\s*and\s+.*=.*' //匹配 and 1=1
];

$waf = new \Xielei\Waf($rules);
$waf->run();

自定義攔截頁面

$waf = new \Xielei\Waf\Waf();
if(!$waf->check()){
    echo '非法請求';
    die;
}


開源地址
https://github.com/xielei/waf

相關推薦

分享一個php防火牆攔截SQL注入xss

一個基於php防火牆程式攔截sql注入xss攻擊等 安裝 composer require xielei/waf 使用說明

PHP程式碼審計之SQL注入

程式碼審計之SQL注入 SQL注入攻擊(SQLInjection)是攻擊者在表單中提交精心構造的sql語句改變原來的sql語句如果web程式沒有對提交的資料經過檢查那麼就會造成sql注入攻擊。

佇列——以陣列Q[m]存放迴圈佇列元素設定一個標誌tag以tag=0tag=1來區別在頭指標尾指標相等時佇列為空或滿

特別用了指標來計算 但如果是int*a = new int; *a = 1; 直接用*a去進行運算就跟正常的佇列設計是一樣的了

SpringMVC無xml檔案之靜態資源攔截器配置@EnableWebMvc

目錄1 SpringMVC配置1.1 原專案參考1.2 靜態資源對映1.3 攔截器配置1.4 其他配置1.5 @EnableWebMvc1.5.1 對spring boot專案影響1.5.2 @EnableWebMvc、WebMvcConfigurationSupport、WebMvcConfigurationAdapter

python 一個HTML檔案找出正文連結

技術標籤:Python小技巧 ython 練習冊每天一個小程式 第 0008 題: 一個HTML檔案找出裡面的正文。

設計一個學生類屬性有姓名學號 可以給姓名學號賦值可以顯示學生的姓名學號

#include<iostream> using namespace std; #include <string> class Student { //訪問許可權 //公共許可權

用Java如何設計一個阻塞佇列然後說說ArrayBlockingQueueLinkedBlockingQueue

前言 用Java如何設計一個阻塞佇列這個問題是在面滴滴的時候被問到的。當時確實沒回答好只是說了用個List然後消費者再用個死迴圈一直去監控list的是否有值有值的話就處理List裡面的內容。回頭想想自己真是一

說說在PHPMySQL如何防止SQL注入

方法一: mysql_real_escape_string -- 轉義 SQL 語句中使用的字串中的特殊字元並考慮到連線的當前字符集 !

phpsql注入

原始沒有防sql注入操作: public function sql_export(Request $request){ $username = $request -> get(\"username\");

PHP漏洞之【整型數字型SQL注入

0x01 什麼是SQL注入 SQL是一種注入攻擊通過前端帶入後端資料庫進行惡意的SQL語句查詢。

分享一個專案中在用的圖片處理工具類(圖片縮放旋轉畫布格式位元組,image,bitmap轉換等)

using System; using System.Collections.Generic; using System.IO; using System.Text; using System.Drawing;

分享一個自己封裝且一直在維護的依賴.net4.5的http非同步組包工具類(支援get,post( 表單 json, 包含圖片等檔案的流提交) ,cookie管理自動跳轉,代理IP,https的支援,高併發的配置等等

1.)Nuget安裝: 搜尋 ConfigLab.Comp, 安裝最新版即可. 2.)組包示例. 2.1)模擬post表單提交併包含普通引數一個圖片檔案(基於HttpFileUploadAssisterAsync這個核心類).

分享一個JQuery 圖片裁剪外掛然後用C# 把裁剪的圖片儲存在本地

一、圖片裁剪外掛   演示Demo:http://www.htmleaf.com/Demo/201608063831.html   下載網址:http://www.htmleaf.com/jQuery/Image-Effects/201608063830.html

Mybatis動態指定表名、列名如何防止SQL注入

以下的程式碼操作的是MySQL資料庫 方式一 因為表名無法通過 CONCAT() 函式進行拼接所以只能通過 ${} 直接將表名的字串替換。

Mybatis外掛sql攔截國密SM4加密資料庫欄位自定義註解配置加密屬性攔截器自動解密

資源地址: 本文只是做了一個小小的demo針對於Mybatis外掛的編寫主要參考官方文件

Java防止SQL注入2(通過filter過濾器功能進行攔截

  首先說明一點這個過濾器攔截其實是不靠譜的比如說我的一篇文章是介紹sql注入或者評論的內容是有關sql那會過濾掉;且如果每個頁面都經過這個過濾器那麼效率也是非常低的。

記錄一個sql注入的漏洞

技術標籤:sql資料訪問資料庫 背景說明 滲透測試的時候發現圖片庫的搜尋框存在sql注入漏洞攻擊者利用該漏洞可執行’"<>&*等sql語句造成資料庫訪問異常甚至進行脫庫

可怕的漏洞SQL注入漏洞實戰演習

簡介 在owasp釋出的top10排行榜裡,注入漏洞一直是危害排名第一的漏洞其中注入漏洞裡面首當其衝的就是資料庫注入漏洞(在最新的型別中:命令注入、程式碼注入xss注入sql注入等已經合併統稱注入漏洞)。一個

sqlmap繞過d盾_姿勢分享——SQL注入bypass D盾

技術標籤:sqlmap繞過d盾 首先感謝兄弟們的支援與關注我們的成長離不開您的陪伴

SQL注入攻擊嚇死寶寶了

SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。那麼什麼是SQL注入SQL注入是怎麼發生的?如何防止SQL注入。我們今天就來了解一下。