php应用程序安全防范技术研究(1)
关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
PHP安全防范程序模型
/* PHP防注入跨站V1.0
##################联系方式##################
Author: menzhi007 [S.S.F.]
Email: menzhi007@163.com
Blog: http://hi.baidu.com/menzhi007
##################使用说明##################
在您的页面顶部添加: require(“menzhi_injection.php”);
即可实现通用防止SQL注入,以及XSS跨站漏洞。
##################缺陷以及改进##################
程序还有很多缺陷,希望大家能帮助改进
##################参考以及鸣谢##################
Neeao'ASP SQL通用防注入程序 V3.0
部分代码参考自Discuz!
*/
error_reporting(0);
define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection = explode("|",$menzhi_injection);
foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
foreach($$_request as $_key => $_value) {
//$_value = strtolower($_value);
$_key{0} != '_' && $$_key = daddslashes($_value);
foreach($menzhi_injection as $kill_key => $kill_value) {
if(substr_count($_value,$kill_value)>0) {
echo "";
unset($_value);
exit();
}
}
//echo "
".$_value;
}
}
function daddslashes($string) {
if(!MAGIC_QUOTES_GPC) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val);
}
} else {
$string = addslashes($string);
}
}
$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));
return $string;
}
?>