php防注入

防注入

/*************************
说明:
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能:
防注入
**************************/
//要过滤的非法字符
$ArrFiltrate=array("'",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}

//合并$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}

//验证开始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo " ";
if (empty($StrGoUrl)){
echo " ";
}else{
echo " ";
}
exit;
}
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

时间: 2024-09-17 04:20:04

php防注入的相关文章

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全 <% '''''''''''''''''''''''''''''''''''''''''''''''' 'ASP通用防注入代码 '您可以把该代码COPY到头文件中.也可以单独作 '为一个文件存在,每次调用使用 '作者:y3gu - 2005-7-29 '''''''''''''''''''''''''''''''''''''''''''''''' Dim GetFlag Rem(提交方式) Dim ErrorSql Rem(非法字符) Di

通过cookies注入破解ASP通用防注入程序

在一次网站被注入木马后,很是郁闷,网站已经放入了通用的ASP防注入程序,但依然被注入. 在查阅了大量的资料后,终于发现了问题所在. 现在很多网站都加了防注入系统代码,你输入注入语句将无法注入~~感觉这样的防注入系统不错,但防注入系统没有注意到 Cookies 的问题!所以就有了Cookies注入~~ 我们来研究一下怎样情况下才会有Cookies注入!如果你学过ASP你应该会知道 Request.QueryString (GET) 或 Request.Form (POST)!呵,没错,这就是我们用

ASP最新SQL防注入过滤涵数

sql|防注入 Function Checkstr(Str) If Isnull(Str) Then CheckStr = "" Exit Function End If Str = Replace(Str,Chr(0),"", 1, -1, 1) Str = Replace(Str, """", """, 1, -1, 1) Str = Replace(Str,"<",

编写通用的asp防注入程序

程序|防注入|防注入 sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的 ,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序 一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中 非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到sql注入攻击. iis传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Reques

编写通用的asp防注入程序 选择自 ph4studio 的 Blog

程序|防注入|防注入 sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的 ,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序 一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中 非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到sql注入攻击. iis传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Reques

拒绝攻击 万能Asp防注入代码

防注入|攻击 这几天着实为sql注入漏洞伤了神,网上的代码好多不是很深奥就是麻烦.终于找到了万能防注代码,分享了,呵呵 .操作简单上手,只要来个包含或放入conn.asp中,搞定.末了,估计还有一些危险字符没有放全,帮我补全一下,谢谢了! <% ''''--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr ''''自定义需要过滤的字串,用 "防" 分隔 Fy_In =

PHP通用防注入安全代码

安全|防注入 简述:/************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST.$_GET 功能: 防注入 **************************/ <?php //要过滤的非法字符 $ArrFiltrate=array("'",";","union"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 fu

SQL注入不完全思路与防注入程序

程序|防注入 SQL注入不完全思路与防注入程序 [ 繁體中文 ] | 文章类别:数据库安全 | 文章等级: | 发表日期:2005-2-13  星期日 [ 计数器 | 精彩博客 | 魔法表情 | 博客申请 | 源码下载 | IP查询 | Html2Js ] 转自:动态网制作指南 www.knowsky.com <一>SQL注入简介 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访

PHP网站中整体防注入方法

防注入 今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行防范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码. 我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果.而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我们要做的工作就是过滤每个变量就可以了. 下面看具体的代码: /* Auth