返回顶部

收藏

从360提供的PHP防SQL注入代码改成的一个类

更多

前些天做的一个网站在百度搜索时竟然提示“安全联盟提醒您:该网站存在安全风险,请谨慎访问!”,于是就开始拼命的找解决方案,最终从SQL注入和HTTP跨站两个方 面解决了问题,在这里记录一下。

[PHP]代码

<?php
class sqlsafe {
    private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
    private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
    private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
    /**
     * 构造函数
     */
    public function __construct() {
        foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}
        foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}
        foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}
    }
    /**
     * 参数检查并写日志
     */
    public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){
        if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);
        if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){   
            $this->writeslog($_SERVER["REMOTE_ADDR"]."    ".strftime("%Y-%m-%d %H:%M:%S")."    ".$_SERVER["PHP_SELF"]."    ".$_SERVER["REQUEST_METHOD"]."    ".$StrFiltKey."    ".$StrFiltValue);
            showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);
        }
    }
    /**
     * SQL注入日志
     */
    public function writeslog($log){
        $log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';
        $ts = fopen($log_path,"a+");
        fputs($ts,$log."\r\n");
        fclose($ts);
    }
}
?>

标签:PHP,MySQL

收藏

0人收藏

支持

0

反对

0

相关聚客文章
  1. admin 发表 2012-05-28 14:16:11 Mac OS X 安装mysql过程
  2. musiXboy 发表 2013-09-30 06:36:47 Google App Engine For PHP Preview 初体验
  3. 杨帆 发表 2013-01-11 07:02:44 ORM到底是用还是不用?
  4. 贾新明 发表 2013-12-05 05:32:14 dedecms的截取和mysql截取字段内容的固定内容
  5. admin 发表 2012-01-18 12:14:34 MacOS Lion安装Apache+MySQL+PHP的一些坑
  6. 杨帆 发表 2013-01-11 07:02:44 ORM到底是用还是不用?
  7. Era 发表 2014-08-13 01:06:07 mysql关闭与删除bin-log日志详解
  8. wkii 发表 2013-05-30 14:35:38 Yii deleteByAttributs 用法,慎用Dao的delete
  9. root 发表 2012-07-26 09:01:24 LAMP环境安装常见问题
  10. Kerwin 发表 2015-03-13 05:27:07 win7下安装nginx+php+mysql教程
  11. root 发表 2015-04-22 04:10:01 centOs下的php+mysql+apache+ftp配置
  12. root 发表 2015-04-28 10:06:01 PHP中实现MySQL嵌套事务的两种解决方案

发表评论