PHP 安全保護程序模型

復(fù)制代碼代碼如下：

/* PHP 反注入跨站 V1.0

在頁面頂部添加：(".php");

可以實現(xiàn)對SQL注入和XSS跨站漏洞的通用防范。

#################缺陷和改進##################

程序還有很多缺陷，希望大家?guī)兔Ω倪M

##################參考和感謝##################

'ASP SQL通用反注入程序V3.0

部分代碼參考自！

*/

(0);

('', ());

$="'|;|and|(|)|exec|||||*|%|chr|mid|||or|char|";

$ = ("|",$);

(('_GET','','','') as $) {

($$ as $_key => $) {

//$ = ($);

$_key{0} !='_' && $$_key = ($);

($ as $ => $) {

if(($,$)>0){

回聲“”;

($);

退出();

}

}

//echo "

".$;

}

}

($) {

if(!) {

if(($)) {

($ as $key => $val) {

$[$key] = ($val);

}

} 其他{

$ = ($);

}

}

$ = ('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/','&\\1',(( '&','"',''), ('&','"',''), $));

$;

}

使用說明

添加："(".php");"在您的頁面頂部實現(xiàn)對 SQL 注入和 XSS 跨站點漏洞的一般預(yù)防。調(diào)用這個程序，我們用()代替()，因為如果()調(diào)用文件發(fā)生錯誤，程序就會被終止，()會忽略它。 and () 調(diào)用文件時，程序一運行，就會先調(diào)用外部文件。 And () 會在到達這一行時開始執(zhí)行。根據(jù)函數(shù)特點，我們選擇（）。也可以根據(jù)實際需要增加或刪除$變量中的過濾字符php應(yīng)用程序安全編程，以達到更好的防御效果。此外，您可以自己修改代碼，可能會有意想不到的收獲。普通注射可以起到防御作用。以下測試僅供嘲諷。以下是對一句話木馬的測試效果：

嘿，如果您覺得受到誘惑，請在頁面頂部調(diào)用它。記住它是 "(".php");"哦。這只是一個提高大家興趣的噱頭，請自行測試。

缺陷和需要改進

由于這個程序只是一個外部調(diào)用，它只處理外部提交的變量，不對你的應(yīng)用進行系統(tǒng)分析，所以有很多限制。請謹慎使用。對于使用GBK編碼的程序，仍然存在雙字節(jié)編碼漏洞的風險，雖然這個程序可以處理這些漏洞。但要堵住這些漏洞php應(yīng)用程序安全編程，還是要從根源入手。需要處理數(shù)據(jù)庫連接文件，我們可以加上=。 !7.0的數(shù)據(jù)庫連接類..php很不錯，可以參考。當然，這些都不是這個小程序的范圍。

而且這個程序沒有過濾$$_ENV$系統(tǒng)變量。例如，當$['']系統(tǒng)獲得一個IP時，黑客可以通過劫持修改原始HTTP請求包來修改其值。該程序可以處理這些漏洞。但作為程序員，我們需要的是從根源上處理外部變量，防患于未然，防患于未然。

程序很亂，歡迎大家測試使用。如果您有任何建議，請直接與我聯(lián)系。

結(jié)論

最后，祝大家學業(yè)有成，工作順利，向大家的辛勤工作致敬。

免責聲明：本文首發(fā)于php中文網(wǎng)。轉(zhuǎn)載請注明出處。感謝您的尊重！如果您有任何問題，請聯(lián)系我們