php sql防注入以及 html 过滤安全函数

更新时间：2016年11月25日 15:25 点击：2440

方法一过滤html自定义函数

代码如下	复制代码
function ihtmlspecialchars($string) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = ihtmlspecialchars($val); } } else { $string = preg_replace('/&((#(d{3,5}\|x[a-fa-f0-9]{4})\|[a-za-z][a-z0-9]{2,5});)/', '&\1', str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string)); } return $string;

方法二

代码如下

复制代码

// $rptype = 0 表示仅替换 html标记
// $rptype = 1 表示替换 html标记同时去除连续空白字符
// $rptype = 2 表示替换 html标记同时去除所有空白字符
// $rptype = -1 表示仅替换 html危险的标记
function htmlreplace($str,$rptype=0)
{
$str = strips教程lashes($str);
if($rptype==0)
{
$str = htmlspecialchars($str);
}
else if($rptype==1)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",' ',$str);
$str = ereg_replace("[rnt ]{1,}",' ',$str);
}
else if($rptype==2)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",'',$str);
$str = ereg_replace("[rnt ]",'',$str);
}
else
{
$str = ereg_replace("[rnt ]{1,}",' ',$str);
$str = eregi_replace('script','ｓｃｒｉｐｔ',$str);
$str = eregi_replace("<[/]{0,1}(link|meta|ifr|fra)[^>]*>",'',$str);
}
return addslashes($str);
}

其它方法

php教程过滤不安全字符函数

代码如下

复制代码

function uh($str)
{
    $farr = array(
        "/s+/",//过滤多余的空白
        "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isu",//过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤
        "/(<[^>]*)on[a-za-z]+s*=([^>]*>)/isu",//过滤网页特效的on事件
    );
   $tarr = array(
        " ",
        "＜\1\2\3＞", //如果要直接清除不安全的标签，这里可以留空
        "\1\2",
   );

$str = preg_replace($farr,$tarr,$str);
return $str;

代码如下

复制代码

if(!function_exists('daddslashes')) {
function daddslashes($string, $force = 0) {
return uc_addslashes($string, $force);
}
}

//php 过滤函数应用实例111cn.net

$get = $_get;
$g = uc_addslashes($get, $force = 0, $strip = false);

//过滤post提交数据

$post = $_post;
$p = uc_addslashes($post, $force = 0, $strip = false);

<!doctype html public "-//w3c//dtd xhtml 1.0 transitional//en" "http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="content-type" content="text/html; charset=gb2312" />
<title>几种防御php程序被木马攻击配置详解方法</title>
</head>

<body>
防止跳出web目录
　　首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

　　php_admin_value open_basedir /usr/local/apache

　　/htdocs

　　这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

　　warning: open_basedir restriction in effect. file is in wrong directory in

　　/usr/local/apache/htdocs/open.php on line 4

　　等等。

2、防止php木马执行webshell
　　打开safe_mode，

　　在，php.ini中设置

　　disable_functions= passthru，exec，shell_exec，system

　　二者选一即可，也可都选

3、防止php木马读写文件目录
　　在php.ini中的

　　disable_functions= passthru，exec，shell_exec，system

　　后面加上php处理文件的函数

　　主要有

　　fopen，mkdir，rmdir，chmod，unlink，dir

　　fopen，fread，fclose，fwrite，file_exists

　　closedir，is_dir，readdir.opendir

　　fileperms.copy，unlink，delfile

　　即成为

　　disable_functions= passthru，exec，shell_exec，system，fopen，mkdir，rmdir，chmod，unlink，dir

　　，fopen，fread，fclose，fwrite，file_exists

　　，closedir，is_dir，readdir.opendir

　　，fileperms.copy，unlink，delfile

　　ok，大功告成，php木马拿我们没辙了，遗憾的是这样的话，利用文本数据库教程的那些东西就都不能用了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache fuckmicrosoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了
</body>
</html>

代码如下

复制代码

<!doctype html public "-//w3c//dtd xhtml 1.0 transitional//en" "http://www.111cn.net/tr/xhtml1/dtd/xhtml1-transitional.dtd">
<html lang="en-us" xml:lang="en-us" xmlns="http://www.w3.org/1999/xhtml">
<title>login</title>
<link rel="stylesheet" type="text/css教程" href="/tryit.css教程" />
<script type="text/网页特效">
function getpinimg()
{
document.getelementbyid("pinimg").src="log_demo.php教程?a=pin&r=" + math.random();
}
</script>
</head>

<body>
<form action="log_demo.php" method="get">
<input type="hidden" name="a" value="log" />
user:<input type="text" name="user" size="20" value="test" /><br /><br />
password:<input type="password" name="pass" size="12" value="123456" /><br /><br />
pincode:<input type="text" name="pin" size="8" value="" />
<input type="button" value="getpin" onclick="getpinimg();">
<img id="pinimg" src="log_demo.php?a=pin" onclick="getpinimg();" />
<input type="submit" value="submit"><br />
</form>
</body>
</html>

log_demo.php代码

代码如下

复制代码

<?php
require_once("log_aux.php");

if ($_get['a'] == "pin") {
getpinimg();
exit;
}

if ($_get['a'] == "log") {
$ret = checkpincookie($_get['pin'], 300);
if ($ret < 0) {
  echo "pin error:$ret ";
  exit;
}
// check user name and password.
echo "ok..$ret ";
if ("123xx" == 123) {
  echo "dddd ";
}
echo $_get['u'];
}

log_aux.php代码

代码如下

复制代码

<?php
$magic_a = "www.111cn.net34589";
$magic_b = "234566***+";

function getpincookie($pin_code)
{
global $magic_a;
global $magic_b;
$now = time();
$client_ip = $_server['remote_addr'];
$pin = md5($now . $client_ip . $magic_a . $pin_code . $maigc_b) . $now;
return $pin;
}

function getpinimg()
{
// $rnd = rand(0, 10);
$rnd = 0;
$path = "./www.111cn.net/" . substr("00000$rnd", -4);
for ($i = 0; $i < 4; ++$i) {
  if (__getpinimg($path)) {
   break;
  }
}
exit;
}

function __getpinimg($path)
{
require("$path/pinmap.php");
$pinv = $pin[rand(0, $pin_max)];
list ($file, $pin_code) = explode('#', $pinv);
$filepath = "$path/$file$pin_ext";

// output pincode image.
$fh = fopen($filepath, "rb");
if (!$fh) {
return false;
}
$data = fread($fh, 10240); // php just read max size: 8k.
fclose($fh);

if (strlen($data) < 200) {
return false;
}
// set cookie;
header("content-type: image/jpeg");
$pin_code = strtolower($pin_code);
$pin = getpincookie($pin_code);
setcookie("pin", $pin);

echo $data;
return true;
}

代码如下	复制代码
function _strips教程lashes($string) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = _strips教程lashes($val); } } else { $string = stripslashes($string); } return $string; }

//111cn.net提示你:使用方法

代码如下	复制代码
$post = _stripslashes( $_post ); $get = _stripslashes( $_get ); $ot = _stripslashes( $_post['cc'] );

//这样用户所提交的" ' 增加的了' 或"这样，可以防止一些基本sql注入方法。

[!--infotagslink--]

上一篇: sql通用防注入系统

下一篇: php 用户验证 base64验证方法

php正确禁用eval函数与误区介绍
eval函数在php中是一个函数并不是系统组件函数，我们在php.ini中的disable_functions是无法禁止它的，因这他不是一个php_function哦。 eval()针对php安全来说具有很...2016-11-25
php中eval()函数操作数组的方法
在php中eval是一个函数并且不能直接禁用了，但eval函数又相当的危险了经常会出现一些问题了，今天我们就一起来看看eval函数对数组的操作例子， <?php $data="array...2016-11-25
Python astype(np.float)函数使用方法解析
这篇文章主要介绍了Python astype(np.float)函数使用方法解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下...2020-06-08
Python中的imread()函数用法说明
这篇文章主要介绍了Python中的imread()函数用法说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧...2021-03-16
C# 中如何取绝对值函数
本文主要介绍了C# 中取绝对值的函数。具有很好的参考价值。下面跟着小编一起来看下吧...2020-06-25
C#学习笔记- 随机函数Random()的用法详解
下面小编就为大家带来一篇C#学习笔记- 随机函数Random()的用法详解。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧...2020-06-25
金额阿拉伯数字转换为中文的自定义函数
CREATE FUNCTION ChangeBigSmall (@ChangeMoney money) RETURNS VarChar(100) AS BEGIN Declare @String1 char(20) Declare @String2 char...2016-11-25
详解前端安全之JavaScript防http劫持与XSS
作为前端，一直以来都知道HTTP劫持与XSS跨站脚本、CSRF跨站请求伪造。防御这些劫持最好的方法是从后端入手，前端能做的太少。而且由于源码的暴露，攻击者很容易绕过防御手段。但这不代表我们去了解这块的相关知识是没意义的，本文的许多方法，用在其他方面也是大有作用。...2021-05-24
Android开发中findViewById()函数用法与简化
findViewById方法在android开发中是获取页面控件的值了，有没有发现我们一个页面控件多了会反复研究写findViewById呢，下面我们一起来看它的简化方法。 Android中Fin...2016-09-20
C++中 Sort函数详细解析
这篇文章主要介绍了C++中Sort函数详细解析，sort函数是algorithm库下的一个函数，sort函数是不稳定的，即大小相同的元素在排序后相对顺序可能发生改变...2022-08-18
PHP用strstr()函数阻止垃圾评论(通过判断a标记)
strstr() 函数搜索一个字符串在另一个字符串中的第一次出现。该函数返回字符串的其余部分（从匹配点）。如果未找到所搜索的字符串，则返回 false。语法：strstr(string,search)参数string，必需。规定被搜索的字符串。参数sea...2013-10-04
PHP函数分享之curl方式取得数据、模拟登陆、POST数据
废话不多说直接上代码复制代码代码如下:/********************** curl 系列 ***********************///直接通过curl方式取得数据(包含POST、HEADER等)/* * $url: 如果非数组，则为http;如是数组，则为https * $header:...2014-06-07
php中的foreach函数的2种用法
Foreach 函数（PHP4/PHP5）foreach 语法结构提供了遍历数组的简单方式。foreach 仅能够应用于数组和对象，如果尝试应用于其他数据类型的变量，或者未初始化的变量将发出错误信息。...2013-09-28
C语言中free函数的使用详解
free函数是释放之前某一次malloc函数申请的空间，而且只是释放空间，并不改变指针的值。下面我们就来详细探讨下...2020-04-25
PHP函数strip_tags的一个bug浅析
PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能，该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。由于 strip_tags() 无法实际验证 HTML，不完整或者破损标签将导致更多的数...2014-05-31
SQL Server中row_number函数的常见用法示例详解
这篇文章主要给大家介绍了关于SQL Server中row_number函数的常见用法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧...2020-12-08
PHP加密解密函数详解
分享一个PHP加密解密的函数，此函数实现了对部分变量值的加密的功能。加密代码如下： /* *功能：对字符串进行加密处理 *参数一：需要加密的内容 *参数二：密钥 */ function passport_encrypt($str,$key){ //加密函数 srand(...2015-10-30
php的mail函数发送UTF-8编码中文邮件时标题乱码的解决办法
最近遇到一个问题，就是在使用php的mail函数发送utf-8编码的中文邮件时标题出现乱码现象，而邮件正文却是正确的。最初以为是页面编码的问题，发现页面编码utf-8没有问题啊，找了半天原因，最后找到了问题所在。 1.使用 PEAR 的...2015-10-21
C#中加载dll并调用其函数的实现方法
下面小编就为大家带来一篇C#中加载dll并调用其函数的实现方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧...2020-06-25
C#虚函数用法实例分析
这篇文章主要介绍了C#虚函数用法,实例分析了C#中虚函数的功能与基本使用技巧,需要的朋友可以参考下...2020-06-25

php sql防注入以及 html 过滤安全函数

相关文章

阁下可能感兴趣的内容

推荐阅读