Php $_POST、$_GET防注入程序

<?
/*************************
说明：
判断传递的变量中是否含有非法字符

如$_POST、$_GET
功能：
防注入
*************************/
//要过滤的非法字符

代码如下	复制代码
$ArrFiltrate=array("'","or","and","union","where"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 function FunStringExist($StrFiltrate,$ArrFiltrate){ foreach ($ArrFiltrate as $key=>$value){ if (eregi($value,$StrFiltrate)){ return true; } } return false; }

//合并$_POST 和 $_GET

代码如下	复制代码
if(function_exists(array_merge)){ $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); }else{ foreach($HTTP_POST_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } }

//验证开始

代码如下

复制代码

foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo "<script language='javascript教程'>alert('传递的信息中不得包含{',or,and,union}等非法字符请您把他们换成{‘,ＯＲ,ＡＮＤ,ＵＮＩＯＮ}');</script>";
if (empty($StrGoUrl)){
echo "<script language='javascript'>history.go(-1);</script>";
}else{
echo "<script language='javascript'>window.location='".$StrGoUrl."';</script>";
}
exit;
}
}

/***************结束防止PHP注入*****************/
?>

时间： 2024-09-26 17:58:17

Php $_POST、$_GET防注入程序的相关文章

一个全面的PHP整站防注入程序

SQL注入攻击的总体思路 ·发现SQL注入位置: ·判断后台数据库类型: ·确定XP_CMDSHELL可执行情况 ·发现WEB虚拟目录 ·上传ASP,php,jsp木马: ·得到管理员权限: <?PHP //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态代码如下复制代码 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST

通过cookies注入破解ASP通用防注入程序

在一次网站被注入木马后,很是郁闷,网站已经放入了通用的ASP防注入程序,但依然被注入. 在查阅了大量的资料后,终于发现了问题所在. 现在很多网站都加了防注入系统代码,你输入注入语句将无法注入~~感觉这样的防注入系统不错,但防注入系统没有注意到 Cookies 的问题!所以就有了Cookies注入~~ 我们来研究一下怎样情况下才会有Cookies注入!如果你学过ASP你应该会知道 Request.QueryString (GET) 或 Request.Form (POST)!呵,没错,这就是我们用

编写通用的asp防注入程序

程序|防注入|防注入 sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的 ,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到sql注入攻击. iis传递给asp.dll的get 请求是是以字符串的形式,,当传递给Reques

编写通用的asp防注入程序选择自 ph4studio 的 Blog

SQL注入不完全思路与防注入程序

MSSQL通用防注入程序的漏洞

现在基于web的攻击一般都是注入.导致注入的原因一般为对变量的过滤不完全,从而可以使入侵者非法执行程序或查询修改任意数据.随着注入攻击的愈演愈烈,一些专门的过滤代码应运而生.但一些过滤代码的不完善很可能导致新的攻击.下面就以目前应用最广泛的过滤代码--SQL通用防注入程序为下列说明漏洞的成因.利用方法及防范措施. SQL通用防注入程序是由火狐的枫知秋编写的,功能相当完善的防注入代码.它能对定义的过滤字符实现get提交的过滤,并能记录攻击者的IP提交的数据信息.使用时只须在要防注入的文件头中加入代

编写通用的asp防注入程序_应用技巧

编写通用的asp防注入程序选择自 ph4studio 的 Blog 关键字编写通用的asp防注入程序出处 sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的 ,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过

SQL不完全思路与防注入程序

程序|防注入 <一>SQL注入简介许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入.<二>SQL注入思路思路最重要其实好多人都不知道SQL到底能做什么呢这里总结一下SQL注入入侵的总体的思路1. SQL注入漏洞的判断,即寻找注入点2. 判断后台数据库类型3. 确定XP_

枫叶防注入程序漏洞

关键字:inurl:pro_show.asp?showid= 该程序采用枫叶通用防注入1.0asp版,此防注入完全鸡肋,该类型网站程序pro_show.asp 有cookies注入或者变型注入,注入前可以先判断一下字段数:ORdeR By xx 注入语句:ANd 1=1 UNiOn SElEcT 1,username,3,4,5,6,7,8,9,10,password,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 FrOm lei_admi