php应用程序安全防范技术研究

安全 数据安全
关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。

关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。

PHP安全防范程序模型

/* PHP防注入跨站V1.0

##################联系方式##################

Author: menzhi007 [S.S.F.]

Email: menzhi007@163.com

Blog: http://hi.baidu.com/menzhi007

##################使用说明##################

在您的页面顶部添加: require(“menzhi_injection.php”);

即可实现通用防止SQL注入,以及XSS跨站漏洞。

##################缺陷以及改进##################

程序还有很多缺陷,希望大家能帮助改进

##################参考以及鸣谢##################

Neeao'ASP SQL通用防注入程序 V3.0

部分代码参考自Discuz!

*/

error_reporting(0);

define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());

$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";

$menzhi_injection = explode("|",$menzhi_injection);

foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {

foreach($$_request as $_key => $_value) {

//$_value = strtolower($_value);

$_key{0} != '_' && $$_key = daddslashes($_value);

foreach($menzhi_injection as $kill_key => $kill_value) {

if(substr_count($_value,$kill_value)>0) {

echo "";

unset($_value);

exit();

}

}

//echo "

".$_value;

}

}

function daddslashes($string) {

if(!MAGIC_QUOTES_GPC) {

if(is_array($string)) {

foreach($string as $key => $val) {

$string[$key] = daddslashes($val);

}

} else {

$string = addslashes($string);

}

}

$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));

return $string;

}

?>

#p#

使用说明

在您的页面顶部添加:“require(“menzhi_injection.php”);” , 即可实现通用防止SQL注入,以及XSS跨站漏洞。调用本程序,我们使用require() 而不使用include() ,因为require()调用文件如果出错,将终止程序运行,include()并不理会。并且require()调用文件时,程序一运行,会先调用外本文件。而inculde()则是运行到该行时才开始执行。基于函数特性,我们选择require()。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符,来达到更好的防御效果。 再者您可以自行修改代码,或许会有有意外收获。普通注射都可以防御,以下测试仅供调侃,下面是对一句话木马的测试效果:

 

嘿嘿,动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这只是提起大家兴趣的噱头,请自行测试吧。

缺陷以及待改进

由于此程序只是外部调用,只是处理了外部提交的变量,并没有对您的应用程序作系统分析,所以存在很多局限性,请谨慎使用。 对于使用GBK编码的程序,还存在双字节编码漏洞风险,本程序虽然可以处理该漏洞。但遏制这些漏洞,还是需要从根源做起。需要处理数据库连接文件,我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类db_mysql.class.php写的就非常不错,大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。

而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER['HTTP_X_FORWARDED_FOR']系统获取IP时,黑客可以通过劫持修改HTTP原始请求包来更改其值,本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理,防患于未然,未雨绸缪吧。

程序很潦草,欢迎大家测试使用,有什么意见建议直接联系我吧。

结束语

***祝大家学习有成,工作顺利,向所有辛勤工作的PHPers致敬。

【编辑推荐】

  1. 避免十大常见网络应用程序安全错误
  2. 应用程序安全从开发阶段开始
  3. Web应用程序安全性问题本质解密
责任编辑:赵宁宁 来源: 比特网
相关推荐

2018-09-27 14:35:56

2011-07-05 11:06:52

2010-01-18 22:54:40

2018-11-19 13:44:39

2020-03-31 10:19:14

网络安全IT安全漏洞

2010-01-13 10:36:42

2022-01-25 00:06:05

云计算安全技术

2017-02-06 13:31:11

调度技术集群

2009-07-05 11:20:04

2017-03-15 10:00:15

2017-06-24 19:43:08

2011-11-30 21:54:11

ibmdwDominoSAP

2017-07-03 15:22:51

达观数据技术研究

2011-04-20 10:44:15

2012-05-29 10:04:08

2011-05-30 17:21:58

软件测试

2013-01-28 16:44:50

2022-02-18 16:28:19

VR/AR交互互联网

2010-07-09 14:30:18

SNMP Protoc

2019-07-23 11:13:00

点赞
收藏

51CTO技术栈公众号