巅云智能建站平台搭建版(创业流派版)火爆上线,毕生受权!新增:文章智能收罗+全站真静态打包+都会分站+智能小法式+不法词过滤+H5自顺应+智能链词等功效功效概况
建站专提News

PHP完成的避免跨站和xss进犯代码【来自阿里云】

一佰互联网站开辟设想(www.taishanly.com) 宣布日期 2020-04-25 14:40:46 阅读数: 135

本文实例报告了PHP完成的避免跨站和xss进犯代码。分享给大师供大师参考,详细以下:

文档申明:

1.将waf.php传到要包罗的文件的目次

2.在页面中插手防护,有两种做法,按照环境二选一便可:

a).在所须要防护的页面插手代码

require_once("waf.php");

就能够或许做到页面防注入、跨站

若是想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!

增加require_once("waf.php");来挪用本代码

经常利用php体系增加文件

PHPCMS V9 phpcmsase.phpPHPWIND8.7 datasql_config.phpDEDECMS5.7 datacommon.inc.phpDiscuzX2   configconfig_global.phpWordpress   wp-config.phpMetinfo   includehead.php

b).在每一个文件最前加上代码

在php.ini中找到:

Automatically add files before or after any PHP document.

auto_prepend_file = waf.php途径;

PHP文件 waf.php

<?php/*云体检通用缝隙防护补丁v1.1更新时候:2014-05-25功效申明:防护XSS,SQL,代码履行,文件包罗等多种高危缝隙*/$url_arr=array("xss"=>"\=\+\/v(?:8|9|\+|\/)|\%0acontent\-(?:id|location|type|transfer\-encoding)",);$args_arr=array("xss"=>"[\"\"\;\*\<\>].*\bon[a-zA-Z]{3,15}[\s\r\n\v\f]*\=|\b(?:expression)\(|\<script[\s\\\/]|\<\!\[cdata\[|\b(?:eval|alert|prompt|msgbox)\s*\(|url\((?:\#|data|javascript)","sql"=>"[^\{\s]{1}(\s|\b)+(?:select\b|update\b|insert(?:(\/\*.*?\*\/)|(\s)|(\+))+into\b).+?(?:from\b|set\b)|[^\{\s]{1}(\s|\b)+(?:create|delete|drop|truncate|rename|desc)(?:(\/\*.*?\*\/)|(\s)|(\+))+(?:table\b|from\b|database\b)|into(?:(\/\*.*?\*\/)|\s|\+)+(?:dump|out)file\b|\bsleep\([\s]*[\d]+[\s]*\)|benchmark\(([^\,]*)\,([^\,]*)\)|(?:declare|set|select)\b.*@|union\b.*(?:select|all)\b|(?:select|update|insert|create|delete|drop|grant|truncate|rename|exec|desc|from|table|database|set|where)\b.*(charset|ascii|bin|char|uncompress|concat|concat_ws|conv|export_set|hex|instr|left|load_file|locate|mid|sub|substring|oct|reverse|right|unhex)\(|(?:master\.\.sysdatabases|msysaccessobjects|msysqueries|sysmodules|mysql\.db|sys\.database_name|information_schema\.|sysobjects|sp_makewebtask|xp_cmdshell|sp_oamethod|sp_addextendedproc|sp_oacreate|xp_regread|sys\.dbms_export_extension)","other"=>"\.\.[\\\/].*\%00([^0-9a-fA-F]|$)|%00[\"\"\.]");$referer=empty($_SERVER["HTTP_REFERER"]) ? array() : array($_SERVER["HTTP_REFERER"]);$query_string=empty($_SERVER["QUERY_STRING"]) ? array() : array($_SERVER["QUERY_STRING"]);check_data($query_string,$url_arr);check_data($_GET,$args_arr);check_data($_POST,$args_arr);check_data($_COOKIE,$args_arr);check_data($referer,$args_arr);function W_log($log){  $logpath=$_SERVER["DOCUMENT_ROOT"]."/log.txt";  $log_f=fopen($logpath,"a+");  fputs($log_f,$log."");  fclose($log_f);}function check_data($arr,$v) { foreach($arr as $key=>$value) {  if(!is_array($key))  { check($key,$v);}  else  { check_data($key,$v);}  if(!is_array($value))  { check($value,$v);}  else  { check_data($value,$v);} }}function check($str,$v){  foreach($v as $key=>$value)  {  if (preg_match("/".$value."/is",$str)==1||preg_match("/".$value."/is",urlencode($str))==1)    {      //W_log("<br>IP: ".$_SERVER["REMOTE_ADDR"]."<br>时候: ".strftime("%Y-%m-%d %H:%M:%S")."<br>页面:".$_SERVER["PHP_SELF"]."<br>提交体例: ".$_SERVER["REQUEST_METHOD"]."<br>提交数据: ".$str);      print "您的提交带有不正当参数,感谢协作";      exit();    }  }}?>

更多对于PHP相干内容感乐趣的读者可查抄本站专题:《php法式设想宁静教程》、《php宁静过滤技能总结》、《PHP运算与运算符用法总结》、《PHP根基语法入门教程》、《php面向工具法式设想入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操纵入门教程》及《php罕见数据库操纵技能汇总》

但愿本文所述对大师PHP法式设想有所赞助。

一佰互联是天下着名建站品牌办事商,咱们有九年、网站建造、网页设想、php开辟和域名注册及假造主机办事经历,供给的办事更是天下着名。最近几年来还整合团队上风自立开辟了可视化多用户”“3.0平台版,拖拽排版网站建造设想,轻松完成pc站、手机微网站、小法式、APP一体化全网营销网站扶植 ,已胜利的为天下上百家收集公司供给自助建站平台搭建办事。更多资讯:tags标签

相干消息more

29
03月
「ASO优化推行」应用实施ASO优化体例与误

简介:【ASO优化实施】应用实施ASO优化体例与误区举措APP在应用阛阓中关头实施手段的ASO,随着苹果闭于积分墙、刷榜等实施体例的控制进级... >>概况

22
04月
用Dreamweaver8对网站文件停止查抄

用Dreamweaver8建造好了本身的网站,目标是甚么?放到互连网上,也便是终究宣布本身的网站,那末本身在建造网页进程中有不毛病呢?以是... >>概况

28
03月
霸榜第一|明天,抖音又带火了一款减压神器!

简介:翻开闯奇科技,你会发明一款“野门路APP”俄然蹿到榜单Top 3!!!1.“野门路”霸榜第一!再点击该APP概况页面,这款“野门路AP... >>概况

28
04月
支流PHP框架的优错误谬误对照阐发

PHP是一种在国际外都比拟风行的开源办事器端剧本开辟说话。能够或许顺应大中小型名目标开辟需要。咱们将在这篇文章中向大师先容几款支流PHP框架及其... >>概况

高端网站扶植

美工统筹SEO,为企业电子商务营销助力!

德律风:

023-85725751
建站

产物

域名注册 假造主机 云办事器 企业邮局
智能建站 APP打包 微站/小法式 创业平台
网站推行 媒体营销 智能收罗 AI机械人
400德律风 短信营销 店销机械人
私家定制 流派网站