2. 程式人生 > >簡單的 php 防注入、防跨站 函式

簡單的 php 防注入、防跨站 函式

阿新 發佈:2019-01-04 
/**
 * 簡單的 php 防注入、防跨站 函式
 * @return String
 */

function fn_safe($str_string) {
    //直接剔除
    $_arr_dangerChars = array(
        "|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", PHP_EOL //特殊字元
    );

    //正則剔除
    $_arr_dangerRegs = array(
        /* -------- 跨站 --------*/
        //html 標籤
 

        "/<(script|frame|iframe|bgsound|link|object|applet|embed|blink|style|layer|ilayer|base|meta)\s+\S*>/i",

        //html 屬性
        "/on(afterprint|beforeprint|beforeunload|error|haschange|load|message|offline|online|pagehide|pageshow|popstate|redo|resize|storage|undo|unload|blur|change|contextmenu|focus|formchange|forminput|input|invalid|reset|select|submit|keydown|keypress|keyup|click|dblclick|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousedown|mousemove|mouseout|mouseover|mouseup|mousewheel|scroll|abort|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadedmetadata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting)\s*=\s*(\"|')?\S*(\"|')?/i",

        //
 
html 屬性包含指令碼
        "/\w+\s*=\s*(\"|')?(java|vb)script:\S*(\"|')?/i",

        //js 物件
        "/(document|location)\s*\.\s*\S*/i",

        //js 函式
        "/(eval|alert|prompt|msgbox)\s*\(.*\)/i",

        //css
        "/expression\s*:\s*\S*/i",

        /* -------- sql 注入 --------*/

        //顯示 資料庫 | 表 | 索引 | 欄位
 

        "/show\s+(databases|tables|index|columns)/i",

        //建立 資料庫 | 表 | 索引 | 檢視 | 儲存過程 | 儲存過程
        "/create\s+(database|table|(unique\s+)?index|view|procedure|proc)/i",

        //更新 資料庫 | 表
        "/alter\s+(database|table)/i",

        //丟棄 資料庫 | 表 | 索引 | 檢視 | 欄位
        "/drop\s+(database|table|index|view|column)/i",

        //備份 資料庫 | 日誌
        "/backup\s+(database|log)/i",

        //初始化 表
        "/truncate\s+table/i",

        //替換 檢視
        "/replace\s+view/i",

        //建立 | 更改 欄位
        "/(add|change)\s+column/i",

        //選擇 | 更新 | 刪除 記錄
        "/(select|update|delete)\s+\S*\s+from/i",

        //插入 記錄 | 選擇到檔案
        "/insert\s+into/i",

        //sql 函式
        "/load_file\s*\(.*\)/i",

        //sql 其他
        "/(outfile|infile)\s+(\"|')?\S*(\"|')/i",
    );

    $_str_return = $str_string;
    //$_str_return = urlencode($_str_return);

    foreach ($_arr_dangerChars as $_key=>$_value) {
        $_str_return = str_ireplace($_value, "", $_str_return);
    }

    foreach ($_arr_dangerRegs as $_key=>$_value) {            
        $_str_return = preg_replace($_value, "", $_str_return);
    }

    $_str_return = htmlentities($_str_return, ENT_QUOTES, "UTF-8", true);

    return $_str_return;
}

 

相關推薦

簡單php 注入 函式

/** * 簡單的 php 防注入、防跨站 函式 * @return String */ function fn_safe($str_string) { //直接剔除 $_arr_dangerChars = array( "|", ";", "$"

通用的PHP注入漏洞攻擊的過濾函式程式碼

<?PHP  //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = se

WAF——針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入XSSWebshell上傳命令註入非法HTTP協議請求非授權文件訪問等

授權 文件訪問 http協議 火墻 針對 str sql 包括 fire 核心概念 WAF Web應用防火墻(Web Application Firewall),簡稱WAF。 Web攻擊 針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS跨站、Websh

Nginx使用Naxsi搭建Web應用防火墻(WAF),xss註入×××

client strong session misc 錯誤 復制 11.2 web app ann Naxsi是一個開放源代碼、高效、低維護規則的Nginx web應用防火墻(Web Application Firewall)模塊。Naxsi的主要目標是加固web應用程序,

三十三python學習之Flask框架(五)模板:WTF表單CSRF請求偽造模板特有函式&變數

一、WTF表單: 1.web表單: Web 表單是 Web 應用程式的基本功能。預設開啟CSRF保護功能 它是HTML頁面中負責資料採集的部件。表單有三個部分組成:表單標籤、表單域、表單按鈕。表單允許使用者輸入資料,負責HTML頁面資料採集,通過表單將使用者輸入的資料提交給伺服器

PHP依賴注入控制反轉

要想理解 PHP 依賴注入 和 控制反轉 兩個概念,就必須搞清楚如下的兩個問題: DI —— Dependency Injection 依賴注入 IoC —— Inversion of Control 控制反轉 什麼

Django框架(十八)—— 中介軟體CSRF請求偽造

中介軟體 一、什麼是中介軟體 中介軟體是介於request與response處理之間的一道處理過程,相對比較輕量級,並且在全域性上改變django的輸入與輸出 二、中介軟體的作用 如果你想修改請求,例如被傳送到view中的HttpRequest物件。 或者你想修改view返回的HttpRespon

Django框架(十八)—— 中間件CSRF請求偽造

exce meta messages options prot function port 信任 隨機 中間件 一、什麽是中間件 中間件是介於request與response處理之間的一道處理過程,相對比較輕量級,並且在全局上改變django的輸入與輸出 二、中間件的作用

php open basedir設定防止

通過在網站掛馬,進入到PHP的目錄,如果PHP打開了scandir方法的話,可以直接通過目錄一級一級的像上面進入,此操作會造成很大的風險。 下面給出PHP的木馬檔案 <?php //ini_set('display_errors',1); @erro

asp.net 360通用防護程式碼,防止sql注入與xss漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

防止SQL注入和XSS攻擊程式碼

這兩天用360網站安全檢測網站,檢測出SQL注入漏洞和XSS跨站攻擊指令碼N多項bug,然後上網找各種資料,把大部分的資料都看了一遍,最後自己總結了如下程式碼: a、防止SQL注入程式碼: //防止S

Spring Boot介面如何設計篡改重放攻擊

Spring Boot 防篡改、防重放攻擊 本示例主要內容 請求引數防止篡改攻擊 基於timestamp方案,防止重放攻擊 使用swagger介面文件自動生成 API介面設計 API介面由於需要供第三方服務呼叫,所以必須暴露到外網,並提供了具體請求地址和請求引數,為了防止被別有用心之人獲取到真實請求引數後

JAVA WEB中處理SQL注入|XSS指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

Python之路67-CSRF請求偽造

python目錄一、簡介二、應用三、官方示例一、簡介django為用戶實現防止跨站請求偽造的功能,通過中間件django.middleware.csrf.CsrfViewMiddleware來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。全局: 中間件 django.middlewa

登入注入簡單的實現

原來是這樣寫的,當我登入時輸入:' or 1=1 -- 會導致登入成功!這樣讓我必須要做防注入。 /** * 獲取登入使用者 * @param userName * @param md5password * @return */

PHP解決搶購秒殺搶樓抽獎等阻塞式高併發庫存控超量的思路方法

如今在電商行業裡,秒殺搶購活動已經是商家常用促銷手段。但是庫存數量有限,而同時下單人數超過了庫存量,就會導致商品超賣甚至庫存變負數的問題。 又比如:搶購火車票、論壇搶樓、抽獎乃至爆紅微博評論等也會引發阻塞式高併發問題。如果不做任何措施可能在高瞬間造成伺服器癱瘓,如何解決這個

安全防禦之xssSQL注入與CSRF攻擊

XSS攻擊 個人理解,專案中最普通的就是通過輸入框表單,提交js程式碼,進行攻擊例如在輸入框中提交 <script>alert("我是xss攻擊");</script>,如果沒有防御措施的話,就會在表單提交之後,彈出彈窗 防禦措施,目前我主要是用一個過濾器,將特殊字元進行轉

SpringMVC以資料繫結方式做HTMLSQL注入

首先先定義個一個類整合 PropertyEditorSupport 屬性編輯器public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; //定義

4幾種通用注入程式繞過方法

0x00 前言目前主流的CMS系統當中都會內建一些防注入的程式,例如Discuz、dedeCMS等,本篇主要介紹繞過方法。0x01 Discuz x2.0防注入防注入原理這裡以Discuz最近爆出的一個外掛的注入漏洞為例,來詳細說明繞過方法。漏洞本身很簡單,存在於/sourc

php】PDO資料庫sql注入

安全的方式: $pdo = new PDO('mysql:host=localhost;dbname=phptry','username','passwd'); $pdo->query("SET