PHPアプリケーションセキュリティ防止技術の研究_PHPチュートリアル

PHP セキュリティ防止プログラム モデル

コードをコピーします コードは次のとおりです:

/* PHP アンチインジェクション クロスサイト V1.0
に require(“menzhi_injection.php”)
を追加します。これを達成するには、ページの上部にある SQL インジェクションと XSS クロスサイト脆弱性を全面的に防ぎます。
################欠陥と改善点##################
プログラムにはまだ多くの欠陥があり、皆様も改善にご協力いただけると幸いです
################参考と謝辞##################
Neeao'ASP SQL ユニバーサル アンチインジェクション プログラム V3.0
コードの一部は Discuz! から参照しています!*/
error_reporting(0);
$menzhi_injection="'|;| |(|)|exec|insert |select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";
$menzhi_injection =explode("|",$menzhi_injection);
foreach(array('_GET' , '_POST', '_COOKIE','_REQUEST') as $_request) {
foreach($$_request as $_key => $_value) {
//$_value = strto lower( $_value);
$_key{ 0} != '_' && $$_key = godslashes($_value);
foreach($menzhi_injection as $kill_key => $kill_value) {
if(substr_count($_value,$) kill_value)>0) {
unset($_value);
}
}
//echo "
"
}
関数dadslashes($string) {
if(!MAGIC_QUOT ES_GPC) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = maddslashes($val) }
} else {
$string = addlashes ($string);
}
}
$string = preg_replace(((d{3,5}|x[a-fA-F0-9]{4) }));)/', ' &\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '< ', '>'), $ string));
return $string;
?>


使用方法をページの先頭に追加します。 SQL インジェクションと XSS クロスサイト脆弱性の普遍的な防止を実現します。このプログラムを呼び出すには、include() の代わりに require() を使用します。これは、require() によって呼び出されたファイルでエラーが発生した場合、プログラムは終了し、include() はそれを無視するためです。そして、require() がファイルを呼び出すと、プログラムが実行されるとすぐに外部ファイルが最初に呼び出されます。 Inculde() は、この行に到達した場合にのみ実行を開始します。関数の特性に基づいて、require() を選択します。 実際のニーズに応じて $menzhi_injection 変数のフィルター文字を追加または削除して、より良い防御効果を実現することもできます。 さらに、コードを自分で変更すると、予期しない結果が得られる可能性があります。通常のインジェクションは防御できます。次のテストは単なる嘲笑です。次は 1 文のトロイの木馬のテスト効果です。 「require("menzhi_injection.php");」を覚えておいてください。これは皆さんの興味を引くための単なるギミックですので、ぜひご自身で試してみてください。
不具合と改善点
このプログラムは外部呼び出しのみであるため、外部から送信された変数を処理するだけであり、アプリケーションの系統的な分析は行わないため、多くの制限がありますので、注意して使用してください。 GBK エンコーディングを使用するプログラムには、2 バイト エンコーディングの脆弱性のリスクもありますが、このプログラムはこの脆弱性に対処できます。しかし、これらの抜け穴を防ぐには、やはり根本原因から始める必要があります。データベース接続ファイルを処理する必要がある場合は、character_set_client=binary を追加できます。 Discuz!7.0 のデータベース接続クラス db_mysql.class.php は非常によく書かれているので、参照してください。もちろん、これらはこの小さなプログラムの範囲ではありません。
そして、このプログラムは $_SERVER $_ENV $_FILES システム変数をフィルターしません。たとえば、$_SERVER['HTTP_X_FORWARDED_FOR'] システムが IP を取得すると、ハッカーは元の HTTP 要求パケットをハイジャックして変更することでその値を変更できます。このプログラムはこれらの脆弱性を処理できます。しかし、プログラマとして私たちに必要なのは、根本原因から外部変数に対処し、それが起こる前に予防策を講じ、予防策を講じることです。
このプログラムは非常に厄介ですが、どなたでもテストして使用することを歓迎します。コメントや提案があれば、私に直接連絡してください。
おわりに

最後に、皆さんの学業と仕事での成功をお祈りし、熱心に働いているPHPerの皆さんに敬意を表します。



http://www.bkjia.com/PHPjc/320673.html

www.bkjia.com

tru​​e

http://www.bkjia.com/PHPjc/320673.html
技術記事

PHP セキュリティ防止プログラム モデルのコピー コードは次のとおりです: /* PHP アンチインジェクション クロスサイト V1.0 SQL インジェクションの普遍的な防止を実現するには、ページの先頭に require("menzhi_injection.php"); を追加します。 .