PHP防注入安全代码

PHP #防注入2012-12-21 15:43

怕网站被注入的朋友们看过来了，今天分享个代码。

1.将safe.func.php传到要包含的文件的目录

2.在页面中加入防护，有两种做法，根据情况二选一即可：

a).在所需要防护的页面加入代码
require_once('safe.func.php');
就可以做到页面防注入、跨站
如果想整站防注，就在网站的一个公用文件中，如数据库链接文件config.inc.php中！
添加require_once('safe.func.php');来调用本代码

常用php系统添加文件
PHPCMS V9 phpcmsase.php
PHPWIND8.7 datasql_config.php
DEDECMS5.7 datacommon.inc.php
DiscuzX2 configconfig_global.php
Wordpress wp-config.php
Metinfo includehead.php

b).在每个文件最前加上代码
在php.ini中找到:
Automatically add files before or after any PHP document.

auto_prepend_file = safe.func.php路径;

safe.func.php 代码如下：

01<?php
02/**
03 * 防注入 2012年12月21日 14:04:33 http://yige.org/php/
04 * 
05 * "<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
06 */
07 
08function safe_custom_error($errno, $errstr, $errfile, $errline) {
09    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
10    die();
11}
12 
13 
14set_error_handler("safe_custom_error", E_ERROR);
15 
16function safe_stop_attack($k, $v, $method=0) {
17    $filter = array(
18        "'|(and|or).+?(>|<|=|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)",//get
19        "(and|or).{1,6}?(=|>|<|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"//post, cookie
20    );
21 
22    $filter = isset($filter[$method]) ? $filter[$method] : $filter[0];
23     
24    if(is_array($v)) {
25        $v = implode($v);
26    }
27    if (preg_match("/" . $filter . "/is", $v) == 1) {
28        exit("本次操作已记录。请不要继续非法操作。");
29    }
30}
31 
32if (isset($_GET)) {
33    foreach($_GET as $k => $v) safe_stop_attack($k, $v, 0);
34}
35if (isset($_POST)) {
36    foreach($_POST as $k => $v) safe_stop_attack($k, $v, 1);
37}
38if (isset($_COOKIE)) {
39    foreach($_COOKIE as $k => $v) safe_stop_attack($k, $v, 1);
40}

eval()一个有意思的PHP函数 2012/12/21
php的免杀小马 2012/12/21
PHP中eval()的小技巧 2012/12/21
PHP文件缓存类 2012/12/21
PHP文件缓存效率测试 2012/12/21
PHP访问统计类 2012/11/29
php用curl上传图片时Content-Type出错的解决方法 2012/11/28
PHP写的一个简易聊天室 2012/11/25
PHP实现QQ聊天机器人 2012/11/23
PHP高效率写法 2012/11/17

PHP 基础

PHP 高级

PHP 数据库

PHP XML

PHP 和 AJAX

PHP 参考手册

PHP防注入安全代码

相关文章