当前位置: 首页 > 图文教程 > 网络编程 > PHP > php 应用程序安全防范技术研究

PHP
php 多线程上下文中安全写文件实现代码
PHP类的使用 实例代码讲解
用php实现让页面只能被百度gogole蜘蛛访问的方法
php 学习笔记
PHP编程过程中需要了解的this,self,parent的区别
php 操作excel文件的方法小结
使用PHP获取网络文件的实现代码
PHP 巧用数组降低程序的时间复杂度
php下将XML转换为数组
php 文件上传代码(限制jpg文件)
php 无极分类(递归)实现代码
PHP 采集获取指定网址的内容
PHP 将图片按创建时间进行分类存储的实现代码
PHP 存储文本换行实现方法
PHP 批量更新网页内容实现代码
用PHP查询搜索引擎排名位置的代码
用php实现的获取网页中的图片并保存到本地的代码
php实现首页链接查询 友情链接检查的代码
处理php自动反斜杠的函数代码
php实现的遍历文件夹下所有文件,编辑删除

PHP 中的 php 应用程序安全防范技术研究


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-12   浏览: 49 ::
收藏到网摘: n/a

比特网专家特稿:关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。 PHP安全防范程序模型
复制代码 代码如下:

  /* PHP防注入跨站V1.0
  在您的页面顶部添加: require(“menzhi_injection.php”);
  即可实现通用防止SQL注入,以及XSS跨站漏洞。
  ##################缺陷以及改进##################
  程序还有很多缺陷,希望大家能帮助改进
  ##################参考以及鸣谢##################
  Neeao'ASP SQL通用防注入程序 V3.0
  部分代码参考自Discuz!
  */
  error_reporting(0);
  define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
  $menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
  $menzhi_injection = explode("|",$menzhi_injection);
  foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {
  foreach($$_request as $_key => $_value) {
  //$_value = strtolower($_value);
  $_key{0} != '_' && $$_key = daddslashes($_value);
  foreach($menzhi_injection as $kill_key => $kill_value) {
  if(substr_count($_value,$kill_value)>0) {
  echo "";
  unset($_value);
  exit();
  }
  }
  //echo "
  ".$_value;
  }
  }
  function daddslashes($string) {
  if(!MAGIC_QUOTES_GPC) {
  if(is_array($string)) {
  foreach($string as $key => $val) {
  $string[$key] = daddslashes($val);
  }
  } else {
  $string = addslashes($string);
  }
  }
  $string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));
  return $string;
  }
  ?>

  使用说明
  在您的页面顶部添加:“require(“menzhi_injection.php”);” , 即可实现通用防止SQL注入,以及XSS跨站漏洞。调用本程序,我们使用require() 而不使用include() ,因为require()调用文件如果出错,将终止程序运行,include()并不理会。并且require()调用文件时,程序一运行,会先调用外本文件。而inculde()则是运行到该行时才开始执行。基于函数特性,我们选择require()。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符,来达到更好的防御效果。 再者您可以自行修改代码,或许会有有意外收获。普通注射都可以防御,以下测试仅供调侃,下面是对一句话木马的测试效果:  
1
  嘿嘿,动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这只是提起大家兴趣的噱头,请自行测试吧。
  缺陷以及待改进
  由于此程序只是外部调用,只是处理了外部提交的变量,并没有对您的应用程序作系统分析,所以存在很多局限性,请谨慎使用。 对于使用GBK编码的程序,还存在双字节编码漏洞风险,本程序虽然可以处理该漏洞。但遏制这些漏洞,还是需要从根源做起。需要处理数据库连接文件,我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类db_mysql.class.php写的就非常不错,大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。
  而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER['HTTP_X_FORWARDED_FOR']系统获取IP时,黑客可以通过劫持修改HTTP原始请求包来更改其值,本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理,防患于未然,未雨绸缪吧。
  程序很潦草,欢迎大家测试使用,有什么意见建议直接联系我吧。
  结束语
  最后祝大家学习有成,工作顺利,向所有辛勤工作的PHPers致敬。