首页 > 后端开发 > php教程 > 网页防注入,可以委以360的通用防护代码吗

网页防注入,可以委以360的通用防护代码吗

WBOY
发布: 2016-06-13 12:14:23
原创
1220 人浏览过

网页防注入,可以依赖360的通用防护代码吗

<?php<br />//Code By Safe3 <br />function customError($errno, $errstr, $errfile, $errline)<br />{ <br /> echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";<br /> die();<br />}<br />set_error_handler("customError",E_ERROR);<br />$getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";<br />$postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";<br />$cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";<br />function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){  <br /><br />if(is_array($StrFiltValue))<br />{<br />    $StrFiltValue=implode($StrFiltValue);<br />}  <br />if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   <br />        //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);<br />        print "360websec notice:Illegal operation!";<br />        exit();<br />}      <br />}  <br />//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);<br />foreach($_GET as $key=>$value){ <br />	StopAttack($key,$value,$getfilter);<br />}<br />foreach($_POST as $key=>$value){ <br />	StopAttack($key,$value,$postfilter);<br />}<br />foreach($_COOKIE as $key=>$value){ <br />	StopAttack($key,$value,$cookiefilter);<br />}<br />if (file_exists('update360.php')) {<br />	echo "请重命名文件update360.php,防止黑客利用<br/>";<br />    die();<br />}<br />function slog($logs)<br />{<br />  $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";<br />  $Ts=fopen($toppath,"a+");<br />  fputs($Ts,$logs."\r\n");<br />  fclose($Ts);<br />}<br />?>
登录后复制

RT,多谢赐教。
------解决思路----------------------
只是对GET,POST,COOKIE的数据做了sql语句的过滤,是可以用的
------解决思路----------------------
用加速乐的路过
------解决思路----------------------
可以做参数化,现在的php中的pdo,微软的,对抗sql这种用的都是参数化吧.其实在没有的时候,可以做一个过滤,过滤的规则,这个可以自己来写

相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板