PHP 安全保護(hù)程序模型

復(fù)制代碼代碼如下：

/* PHP 反注入跨站 V1.0

在頁(yè)面頂部添加：(".php");

可以實(shí)現(xiàn)對(duì)SQL注入和XSS跨站漏洞的通用防范。

#################缺陷和改進(jìn)##################

程序還有很多缺陷，希望大家?guī)兔Ω倪M(jìn)

##################參考和感謝##################

'ASP SQL通用反注入程序V3.0

部分代碼參考自！

*/

(0);

('', ());

$="'|;|and|(|)|exec|||||*|%|chr|mid|||or|char|";

$ = ("|",$);

(('_GET','','','') as $) {

($$ as $_key => $) {

//$ = ($);

$_key{0} !='_' && $$_key = ($);

($ as $ => $) {

if(($,$)>0){

回聲“”;

($);

退出();

}

}

//echo "

".$;

}

}

($) {

if(!) {

if(($)) {

($ as $key => $val) {

$[$key] = ($val);

}

} 其他{

$ = ($);

}

}

$ = ('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/','&\\1',(( '&','"',''), ('&','"',''), $));

$;

}

使用說(shuō)明

添加："(".php");"在您的頁(yè)面頂部實(shí)現(xiàn)對(duì) SQL 注入和 XSS 跨站點(diǎn)漏洞的一般預(yù)防。調(diào)用這個(gè)程序，我們用()代替()，因?yàn)槿绻?)調(diào)用文件發(fā)生錯(cuò)誤，程序就會(huì)被終止，()會(huì)忽略它。 and () 調(diào)用文件時(shí)，程序一運(yùn)行，就會(huì)先調(diào)用外部文件。 And () 會(huì)在到達(dá)這一行時(shí)開(kāi)始執(zhí)行。根據(jù)函數(shù)特點(diǎn)，我們選擇（）。也可以根據(jù)實(shí)際需要增加或刪除$變量中的過(guò)濾字符php應(yīng)用程序安全編程，以達(dá)到更好的防御效果。此外，您可以自己修改代碼，可能會(huì)有意想不到的收獲。普通注射可以起到防御作用。以下測(cè)試僅供嘲諷。以下是對(duì)一句話木馬的測(cè)試效果：

嘿，如果您覺(jué)得受到誘惑，請(qǐng)?jiān)陧?yè)面頂部調(diào)用它。記住它是 "(".php");"哦。這只是一個(gè)提高大家興趣的噱頭，請(qǐng)自行測(cè)試。

缺陷和需要改進(jìn)

由于這個(gè)程序只是一個(gè)外部調(diào)用，它只處理外部提交的變量，不對(duì)你的應(yīng)用進(jìn)行系統(tǒng)分析，所以有很多限制。請(qǐng)謹(jǐn)慎使用。對(duì)于使用GBK編碼的程序，仍然存在雙字節(jié)編碼漏洞的風(fēng)險(xiǎn)，雖然這個(gè)程序可以處理這些漏洞。但要堵住這些漏洞php應(yīng)用程序安全編程，還是要從根源入手。需要處理數(shù)據(jù)庫(kù)連接文件，我們可以加上=。 !7.0的數(shù)據(jù)庫(kù)連接類..php很不錯(cuò)，可以參考。當(dāng)然，這些都不是這個(gè)小程序的范圍。

而且這個(gè)程序沒(méi)有過(guò)濾$$_ENV$系統(tǒng)變量。例如，當(dāng)$['']系統(tǒng)獲得一個(gè)IP時(shí)，黑客可以通過(guò)劫持修改原始HTTP請(qǐng)求包來(lái)修改其值。該程序可以處理這些漏洞。但作為程序員，我們需要的是從根源上處理外部變量，防患于未然，防患于未然。

程序很亂，歡迎大家測(cè)試使用。如果您有任何建議，請(qǐng)直接與我聯(lián)系。

結(jié)論

最后，祝大家學(xué)業(yè)有成，工作順利，向大家的辛勤工作致敬。

免責(zé)聲明：本文首發(fā)于php中文網(wǎng)。轉(zhuǎn)載請(qǐng)注明出處。感謝您的尊重！如果您有任何問(wèn)題，請(qǐng)聯(lián)系我們