PHP网页防范SQL注入方法配置
发布:smiling 来源: PHP粉丝网 添加日期:2014-08-22 17:21:39 浏览: 评论:0
前提条件是我们需要有服务器的管理权限,就是可以修改php.ini文件了,下面我来介绍修改php配置文件来防范SQL注入方法有需要学习的朋友可参考.
为了安全起见,可以打开“php.ini”文件的安全模式,设置“safe_mode=On”;显示 PHP 执行错误信息的 “display_erros”选项如果打开的话,将会返回很多可利用的信息给入侵者,因此要将其设置为“display_erros=off”;这样,PHP 函数执行错误后的信息将不会在客户端的浏览器中进行显示.
此外,在文件还有一个很重要的配置选项,如果将其中的“magic_quotes_gpc”项设置为“On”,PHP 程序会自动将用户提交的变量是含有的“'”、“"”、“”自动转为含有反斜线的转义字符,这个选项类似 ASP 程序中的参数过滤,可以对大部分字符型注入攻击起到防范的作用.
一段程序非常不错,如果你没有服务器管理权限,可以使用如下代码:
- <?php
- class sqlsafe {
- private $getfilter = "'|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
- private $postfilter = "\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
- private $cookiefilter = "\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
- /**
- * 构造函数
- */
- public function __construct() {
- foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}
- foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}
- foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}
- }
- /**
- * 参数检查并写日志
- */
- public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){
- if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);
- if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){
- $this->writeslog($_SERVER["REMOTE_ADDR"]." ".strftime("%Y-%m-%d %H:%M:%S")." ".$_SERVER["PHP_SELF"]." ".$_SERVER["REQUEST_METHOD"]." ".$StrFiltKey." ".$StrFiltValue);
- showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);
- }
- }
- /**
- * SQL注入日志
- */
- public function writeslog($log){
- $log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';//开源代码phpfensi.com
- $ts = fopen($log_path,"a+");
- fputs($ts,$log."rn");
- fclose($ts);
- }
- }
- ?>
Tags: PHP防范SQL SQL注入方法
- 上一篇:PHP中屏蔽过滤指定关键字实现方法总结
- 下一篇:php网站防止刷流量攻击方法
相关文章
- ·PHP防范SQL注入的具体方法详解(测试通过)(2020-12-10)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)