php登录框注入,分享一个php的防火墙,拦截SQL注入和xss
这个是一个一个基于php的防火墙程序,拦截sql注入和xss攻击,无需服务器支持
安装
composer require xielei/waf
使用说明
$waf = new \Xielei\Waf\Waf();
$waf->run();
自定义拦截规则
$rules = [
'\.\./', //禁用包含 ../ 的参数
'\
'\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入
'select([\s\S]*?)(from|limit)', //防止sql注入
'(?:(union([\s\S]*?)select))', //防止sql注入
'having|updatexml|extractvalue', //防止sql注入
'sleep\((\s*)(\d*)(\s*)\)', //防止sql盲注
'benchmark\((.*)\,(.*)\)', //防止sql盲注
'base64_decode\(', //防止sql变种注入
'(?:from\W+information_schema\W)', //防止sql注入
'(?:(?:current_)user|database|schema|connection_id)\s*\(', //防止sql注入
'(?:etc\/\W*passwd)', //防止窥探linux用户信息
'into(\s+)+(?:dump|out)file\s*', //禁用mysql导出函数
'group\s+by.+\(', //防止sql注入
'(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(', //禁用webshell相关某些函数
'(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/', //防止一些协议攻击
'\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[', //禁用一些内置变量,建议自行修改
'\
'(onmouseover|onerror|onload|onclick)\=', //防止xss事件植入
'\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)', //防止执行shell
'\s*and\s+.*=.*' //匹配 and 1=1
];
$waf = new \Xielei\Waf($rules);
$waf->run();
自定义拦截页面
$waf = new \Xielei\Waf\Waf();
if(!$waf->check()){
echo '非法请求';
die;
}
开源地址
php登录框注入,分享一个php的防火墙,拦截SQL注入和xss相关推荐
- sql sp_password登录名不存在或 权限_什么是SQL注入攻击?怎么预防?
转自CSDN,作者hellochenlu/网易号,云计算那些事 互联网的攻击形式千万种,威胁最大的独一份,就是SQL注入了!由于它的危害之大,它也成为了每一个运维工程师为客户部署业务系统前必做的防御. ...
- Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...
- 防sql注入 php代码,完美的php防sql注入代码
一款比较完美的php防sql注入代码,很多初学者都有被sql注入的经验吧,今天我们来分享你一款比较完整的sql防注入代码,有需要的同学可以参考一下: /************************ ...
- 【SQL注入技巧拓展】————4、高级SQL注入:混淆和绕过
[0×01] – 简介 大家好,这是一篇致力于文档化我们所从事的高级SQL注入技术的文章. 本文将要揭示能用于现实CMSs和WAFs程序中的高级绕过技术和混淆技术.文中所提到的SQL注入语句仅仅是一些 ...
- SQL 登录注入脚本_常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御...
1.SQL注入 原理: 1).SQL命令可查询.插入.更新.删除等,命令的串接.而以分号字元为不同命 令的区别.(原本的作用是用于SubQuery或作为查询.插入.更新.删除--等 的条件式) 2). ...
- SQL 登录注入脚本_深圳嘉华学校之SQL 注入
SQL Server 2005 联机丛书 SQL Injection 是一种攻击方法,它可以将恶意代码插入到以后将传递给 SQL Server 供分析和执行的字符串中.任何构成 SQL 语句的过程都应 ...
- 360 php SQL注入,从360提供的PHP防SQL注入代码改成的一个类
前些天做的一个网站在百度搜索时竟然提示"安全联盟提醒您:该网站存在安全风险,请谨慎访问!",于是就开始拼命的找解决方案,最终从SQL注入和HTTP跨站两个方面解决了问题,在这里记录 ...
- SQL防注入大全——史上最全的 SQL 注入资料
什么是 SQL 注入速查表? SQL注入速查表是可以为你提供关于不同种类 SQL注入漏洞 的详细信息的一个资源.这份速查表对于经验丰富的渗透测试人员,或者刚开始接触 Web应用安全 的初学者,都是一份 ...
- html避免js脚本注入,chrome浏览器拓展——js脚本拦截及注入
概要 该浏览器拓展插件是拥有为页面拦截和注入js功能的chrome浏览器扩展,可以拦截页面脚本.检索页面脚本文件.下载页面脚本文件.为页面注入js文件,以及为页面注入requirejs和require ...
最新文章
- 弹性理论法研究桩基受力计算公式_收藏!桩基检测的7种方法
- Oolong and Gnoloo
- 浏览器字体大小设置_CSS之 浏览器解析样式的过程
- Python3机器学习工具包基础复习
- post方式加载iframe
- c语言 int操作bit,C语言,使用共用体和结构体 查看int型的bit散布
- cad查看_天正电气CAD教程之标注实例讲解
- C#——NotifyICON的使用
- 学习了pr后的收获_pr心得体会
- 网上的PS把图片变清晰的原理
- 社工小组 计算机小组活动,《社工小组活动常用游戏整理》
- 推荐一款非常好用的鼠标手势软件StrokeIt
- Redis过期策略---实现原理
- 说说汉古中医对新型冠状病毒感染的认识和防治
- VC API常用函数简单例子大全(1-89)
- 白鹭引擎开发微信小游戏: API 调用教程文档
- 计算机上海交大考研有学硕吗,2021上海交大考研:学硕专硕的区别
- Gmail,google.com等谷歌英文网站被封解决办法
- pass在c语言中的作用,Python语句中pass语句有什么作用?浅谈pass语句的用法
- 【iCore3 双核心板】【发布基于 iCore3的显示模块(包含7寸屏,4.3寸屏,vga模块等】...
热门文章
- Android 之一 Android Studio 安装、配置等新手入门 + 百度地图定位 + 移动摇杆 的实现
- javascript / DOM、BOM、document、window 区别和联系
- python中index函数_详解python中的index函数用法
- php 定时缓存,php如何定时删除缓存??
- linux系统硬盘4k对齐,linux查看硬盘4K对齐方法
- html怎么让js延迟3秒跳转,JS使用setInterval或setTimeout隔几秒后跳转页面
- linux apache 2.2下载,Linux下的Apache 2.2.* SSL证书安装
- python打包exe报错_python 程序打包为 windows 可执行程序 exe
- vue radio双向绑定_Vue是如何实现双向数据绑定的
- oracle数据库动态拼接查询条件解决方案