PHP之SQL防注入代码,PHP防XSS 防SQL注入的代码
360提示XSS漏洞?这个XSS漏洞很不好修复。。。。。如果是PHP程序的话,可以用下面的代码来过滤。。。
PHP防XSS 防SQL注入的代码
class protection{public static function filtrate($str){$farr = array("/\\s+/","/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU","/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",);$str = preg_replace($farr,"",$str);return addslashes($str);}public static function sweep($array){if (is_array($array)){foreach($array as $k => $v){$array[$k] = self::sweep($v);}}else{$array = self::filtrate($array);}return $array;}
}
$_REQUEST = protection::sweep($_REQUEST);
$_GET = protection::sweep($_GET);
$_POST = protection::sweep($_POST);
PHP之SQL防注入代码(360提供)
<?php
class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";/*** 构造函数*/public function __construct() {foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}}/*** 参数检查并写日志*/public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){ $this->writeslog($_SERVER["REMOTE_ADDR"]." ".strftime("%Y-%m-%d %H:%M:%S")." ".$_SERVER["PHP_SELF"]." ".$_SERVER["REQUEST_METHOD"]." ".$StrFiltKey." ".$StrFiltValue);showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);}}/*** SQL注入日志*/public function writeslog($log){$log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';$ts = fopen($log_path,"a+");fputs($ts,$log."\r\n");fclose($ts);}
}
?>
PHP之SQL防注入代码,PHP防XSS 防SQL注入的代码相关推荐
- php 完美防sql注入,PHP 完美的防XSS 防SQL注入的代码
PHP "完美"的防XSS 防SQL注入的代码 function gjj($str) { $farr = array( "/s+/", "/]*?)& ...
- PHP防SQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数. (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单 ...
- 防注入php 留言板代码,简单的 php 防注入代码
简明现代魔法 -> PHP服务器脚本 -> 简单的 php 防注入代码 简单的 php 防注入代码 2010-04-10 介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目 ...
- php mysql防注入字符串过滤_php中防止SQL注入的方法
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST['lastname']进行检查一下. 再说下mysql_real_escape_string和mysql_escape_st ...
- php如何防sql注入,如何在PHP中防止SQL注入
本篇文章将给大家介绍关于PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驱动程序防止SQL注入的方法.下面我们来看具体的内容. 简单的SQL注入示例 例如,A有一个银行网站.已为银行客 ...
- sql 单引号_三种数据库的 SQL 注入详解
SQL 注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用 ...
- 从php角度分析预防xss和Sql注入
引言 从php角度分析预防xss和Sql注入,是因为php对这方面做了很好的支持. XSS 概念: Xss即跨站脚本攻击,指攻击者在网页中嵌入恶意脚本程序(一般由html,css,js组成),当用户打 ...
- sql注入详解 一文了解sql注入所有常见方法
前言 刷完了sqli-labs 对sql注入有了些许认识 在此做个小结与记录 1.什么是sql注入 sql,Structured Query Language,叫做结构化查询语言,管理数据库时用到的一 ...
- python sql注入如何防止_Python如何防止sql注入
Python如何防止sql注入.web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题. 那么在Python web开发的过程中sql ...
最新文章
- yum挂载ftp上无法安装问题
- 3张硬纸板DIY《节奏光剑》全身追踪器,免费开源可替代淘宝3000元套件
- c语言字符初始化怎么表示,C语言初始化字符串 怎么进行字符串赋值?C语言
- 干货 | 懂点儿经济学有什么用?
- 离散对数(例题+详解+代码模板)
- ElasticSearch最全详细使用教程:入门、索引管理、映射详解
- Redis数据安全与性能保障——redis读书笔记4
- ajax提交手机号到php,ajax怎样申请手机号到数据库验证并且返回数据的状态值
- JavaScript中数组去重的几种方法整理
- 提高无线网络下载速度的秘诀
- 数据库的一些基础研究和性能探讨(触发器)
- android减少动态效果,【技巧】手机运行变慢?试试这些办法!
- python 抽象类、抽象方法、接口、依赖注入、SOLIP
- 据说,很多搞科研的硕博生,都容易产生以下20个错觉,看看你中了几枪?
- [转]asp.net中打印ReportViewer报表
- Android中JNI调用过程简述
- jijinghao-瞄准镜
- SAAS之Multi-Tenancy解析
- FPGA—多路选择器(简单逻辑组合电路)
- 老人智能手表方案/案列/APP/小程序/网站