PHP防注入安全代码


PHP #防注入2012-12-21 15:43

怕网站被注入的朋友们看过来了,今天分享个代码。

1.将safe.func.php传到要包含的文件的目录


2.在页面中加入防护,有两种做法,根据情况二选一即可:


a).在所需要防护的页面加入代码
require_once('safe.func.php');
就可以做到页面防注入、跨站
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!
添加require_once('safe.func.php');来调用本代码


常用php系统添加文件
PHPCMS V9 phpcmsase.php
PHPWIND8.7 datasql_config.php
DEDECMS5.7 datacommon.inc.php
DiscuzX2   configconfig_global.php
Wordpress   wp-config.php
Metinfo   includehead.php


b).在每个文件最前加上代码
在php.ini中找到:
Automatically add files before or after any PHP document.

auto_prepend_file = safe.func.php路径;

safe.func.php 代码如下:

01<?php
02/**
03 * 防注入 2012年12月21日 14:04:33 http://yige.org/php/
04 *
05 * "<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
06 */
07 
08function safe_custom_error($errno, $errstr, $errfile, $errline) {
09    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
10    die();
11}
12 
13 
14set_error_handler("safe_custom_error", E_ERROR);
15 
16function safe_stop_attack($k, $v, $method=0) {
17    $filter = array(
18        "'|(and|or).+?(>|<|=|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)",//get
19        "(and|or).{1,6}?(=|>|<|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"//post, cookie
20    );
21 
22    $filter = isset($filter[$method]) ? $filter[$method] : $filter[0];
23     
24    if(is_array($v)) {
25        $v = implode($v);
26    }
27    if (preg_match("/" . $filter . "/is", $v) == 1) {
28        exit("本次操作已记录。请不要继续非法操作。");
29    }
30}
31 
32if (isset($_GET)) {
33    foreach($_GET as $k => $v) safe_stop_attack($k, $v, 0);
34}
35if (isset($_POST)) {
36    foreach($_POST as $k => $v) safe_stop_attack($k, $v, 1);
37}
38if (isset($_COOKIE)) {
39    foreach($_COOKIE as $k => $v) safe_stop_attack($k, $v, 1);
40}


相关文章

粤ICP备11097351号-1