这个是一个一个基于php的防火墙程序,拦截sql注入和xss攻击,无需服务器支持

安装

composer require xielei/waf

使用说明

$waf = new \Xielei\Waf\Waf();

$waf->run();

自定义拦截规则

$rules = [

'\.\./', //禁用包含 ../ 的参数

'\

'\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入

'select([\s\S]*?)(from|limit)', //防止sql注入

'(?:(union([\s\S]*?)select))', //防止sql注入

'having|updatexml|extractvalue', //防止sql注入

'sleep\((\s*)(\d*)(\s*)\)', //防止sql盲注

'benchmark\((.*)\,(.*)\)', //防止sql盲注

'base64_decode\(', //防止sql变种注入

'(?:from\W+information_schema\W)', //防止sql注入

'(?:(?:current_)user|database|schema|connection_id)\s*\(', //防止sql注入

'(?:etc\/\W*passwd)', //防止窥探linux用户信息

'into(\s+)+(?:dump|out)file\s*', //禁用mysql导出函数

'group\s+by.+\(', //防止sql注入

'(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(', //禁用webshell相关某些函数

'(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/', //防止一些协议攻击

'\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[', //禁用一些内置变量,建议自行修改

'\

'(onmouseover|onerror|onload|onclick)\=', //防止xss事件植入

'\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)', //防止执行shell

'\s*and\s+.*=.*' //匹配 and 1=1

];

$waf = new \Xielei\Waf($rules);

$waf->run();

自定义拦截页面

$waf = new \Xielei\Waf\Waf();

if(!$waf->check()){

echo '非法请求';

die;

}

开源地址

php登录框注入,分享一个php的防火墙,拦截SQL注入和xss相关推荐

  1. sql sp_password登录名不存在或 权限_什么是SQL注入攻击?怎么预防?

    转自CSDN,作者hellochenlu/网易号,云计算那些事 互联网的攻击形式千万种,威胁最大的独一份,就是SQL注入了!由于它的危害之大,它也成为了每一个运维工程师为客户部署业务系统前必做的防御. ...

  2. Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

    前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...

  3. 防sql注入 php代码,完美的php防sql注入代码

    一款比较完美的php防sql注入代码,很多初学者都有被sql注入的经验吧,今天我们来分享你一款比较完整的sql防注入代码,有需要的同学可以参考一下: /************************ ...

  4. 【SQL注入技巧拓展】————4、高级SQL注入:混淆和绕过

    [0×01] – 简介 大家好,这是一篇致力于文档化我们所从事的高级SQL注入技术的文章. 本文将要揭示能用于现实CMSs和WAFs程序中的高级绕过技术和混淆技术.文中所提到的SQL注入语句仅仅是一些 ...

  5. SQL 登录注入脚本_常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御...

    1.SQL注入 原理: 1).SQL命令可查询.插入.更新.删除等,命令的串接.而以分号字元为不同命 令的区别.(原本的作用是用于SubQuery或作为查询.插入.更新.删除--等 的条件式) 2). ...

  6. SQL 登录注入脚本_深圳嘉华学校之SQL 注入

    SQL Server 2005 联机丛书 SQL Injection 是一种攻击方法,它可以将恶意代码插入到以后将传递给 SQL Server 供分析和执行的字符串中.任何构成 SQL 语句的过程都应 ...

  7. 360 php SQL注入,从360提供的PHP防SQL注入代码改成的一个类

    前些天做的一个网站在百度搜索时竟然提示"安全联盟提醒您:该网站存在安全风险,请谨慎访问!",于是就开始拼命的找解决方案,最终从SQL注入和HTTP跨站两个方面解决了问题,在这里记录 ...

  8. SQL防注入大全——史上最全的 SQL 注入资料

    什么是 SQL 注入速查表? SQL注入速查表是可以为你提供关于不同种类 SQL注入漏洞 的详细信息的一个资源.这份速查表对于经验丰富的渗透测试人员,或者刚开始接触 Web应用安全 的初学者,都是一份 ...

  9. html避免js脚本注入,chrome浏览器拓展——js脚本拦截及注入

    概要 该浏览器拓展插件是拥有为页面拦截和注入js功能的chrome浏览器扩展,可以拦截页面脚本.检索页面脚本文件.下载页面脚本文件.为页面注入js文件,以及为页面注入requirejs和require ...

最新文章

  1. 弹性理论法研究桩基受力计算公式_收藏!桩基检测的7种方法
  2. Oolong and Gnoloo
  3. 浏览器字体大小设置_CSS之 浏览器解析样式的过程
  4. Python3机器学习工具包基础复习
  5. post方式加载iframe
  6. c语言 int操作bit,C语言,使用共用体和结构体 查看int型的bit散布
  7. cad查看_天正电气CAD教程之标注实例讲解
  8. C#——NotifyICON的使用
  9. 学习了pr后的收获_pr心得体会
  10. 网上的PS把图片变清晰的原理
  11. 社工小组 计算机小组活动,《社工小组活动常用游戏整理》
  12. 推荐一款非常好用的鼠标手势软件StrokeIt
  13. Redis过期策略---实现原理
  14. 说说汉古中医对新型冠状病毒感染的认识和防治
  15. VC API常用函数简单例子大全(1-89)
  16. 白鹭引擎开发微信小游戏: API 调用教程文档
  17. 计算机上海交大考研有学硕吗,2021上海交大考研:学硕专硕的区别
  18. Gmail,google.com等谷歌英文网站被封解决办法
  19. pass在c语言中的作用,Python语句中pass语句有什么作用?浅谈pass语句的用法
  20. 【iCore3 双核心板】【发布基于 iCore3的显示模块(包含7寸屏,4.3寸屏,vga模块等】...

热门文章

  1. Android 之一 Android Studio 安装、配置等新手入门 + 百度地图定位 + 移动摇杆 的实现
  2. javascript / DOM、BOM、document、window 区别和联系
  3. python中index函数_详解python中的index函数用法
  4. php 定时缓存,php如何定时删除缓存??
  5. linux系统硬盘4k对齐,linux查看硬盘4K对齐方法
  6. html怎么让js延迟3秒跳转,JS使用setInterval或setTimeout隔几秒后跳转页面
  7. linux apache 2.2下载,Linux下的Apache 2.2.* SSL证书安装
  8. python打包exe报错_python 程序打包为 windows 可执行程序 exe
  9. vue radio双向绑定_Vue是如何实现双向数据绑定的
  10. oracle数据库动态拼接查询条件解决方案