検索
ホームページphp教程php手册PHP インジェクションの安全仕様

Php インジェクションのセキュリティ防止 上記のプロセスを通じて、PHP インジェクションの原理と手法を理解することができます。もちろん、対応する防止方法も開発できます。

最初は、Windows サーバーのセキュリティ設定についてはすでに説明したので、ここでは繰り返しません。主な設定は、php+mysql のセキュリティ設定です。 Linux ホストの設定。 php+mysql インジェクションを防ぐには、まず、magic_quotes_gpc を On に設定し、display_errors を Off に設定します。ID 型の場合は、コード

に示すように、intval() 関数を使用して整数型に変換します。

$id=intval($id);

mysql_query="select *from example where articieid='$id'"; または、次のように記述します: mysql_query("SELECT * FROM Article WHERE Articleid=".intval( $ id)."")

文字タイプの場合は、addslashes() を使用してフィルターし、次に「%」と「_」をフィルターします。

$search=addslashes($search);

$search=str_replace("_","_",$search);
$search=str_replace("%","%",$search) );
もちろん、PHP の一般的なアンチインジェクション コードを追加することもできます:
/***************************

PHP ユニバーサルアンチインジェクションセキュリティコード

説明:

渡された変数に不正な文字が含まれているかどうかを確認します

$_POST、$_GET など

機能:

抗注射

******************************/

//フィルタリングされる不正な文字
$ArrFiltrate=array("' ","; ","union");
//エラー発生後にジャンプする URL。入力しない場合は、前のページがデフォルトになります
$StrGoUrl="";
/ /配列に値があるかどうか
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$ StrFiltrate)){
return true;
}
}
return false;
}
// $_POST と $_GET をマージ
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$ HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $ key=>$value){
$ArrPostAndGet[]=$value;
}
}
//検証開始
foreach ($ArrPostAndGet as $key=>$value) {
if (FunStringExist($value,$ArrFiltrate)){
echo "alert(/"Neeao プロンプト、不正な文字/");";
if (empty($StrGoUrl)){
echo "history.go(-1);";
}else{
echo "window.location=/"".$StrGoUrl."/" ;";
}
終了;
}
}
?>
/***************************
checkpostandget.php という名前で保存します
次に include("checkpostandget.php") を前に追加します各 php ファイル ;以上です
**************************/

さらに、管理者のユーザー名とパスワードは md5 で暗号化されているため、PHP インジェクションを効果的に防ぐことができます。

サーバーと mysql もいくつかのセキュリティ対策を強化する必要があります。

Linux サーバーのセキュリティ設定:

パスワードを暗号化するには、「/usr/sbin/authconfig」ツールを使用してパスワード シャドウ機能をオンにし、パスワードを暗号化します。

重要なファイルへのアクセスを禁止し、Linux コマンド インターフェイスに入り、プロンプトで次のように入力します:
#chmod 600 /etc/inetd.conf //ファイル属性を 600 に変更します
#chattr +I /etc /inetd. conf // ファイルの所有者が root であることを確認します
#chattr –I /etc/inetd.conf // ファイルへの変更を制限します
すべてのユーザーが su 経由で root ユーザーに変更することを禁止しますcommand
su で設定する ファイルの先頭 (/etc/pam.d/ ディレクトリ) に次の 2 行を追加します。
十分な認証 /lib/security/pam_rootok.so debug
認証が必要です/lib/security/pam_whell.so group=wheel
すべての特殊アカウントを削除
#userdel lp など ユーザーを削除
#groupdel lp など グループを削除
未使用の suid/sgid プログラムを無効にする
#find / -type f (-perm - 04000 - o –perm -02000 ) -execls –lg {} ;



声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

Dreamweaver Mac版

Dreamweaver Mac版

ビジュアル Web 開発ツール

SecLists

SecLists

SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。

mPDF

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

SublimeText3 英語版

SublimeText3 英語版

推奨: Win バージョン、コードプロンプトをサポート!

VSCode Windows 64 ビットのダウンロード

VSCode Windows 64 ビットのダウンロード

Microsoft によって発売された無料で強力な IDE エディター