PHP实现的防止跨站和xss攻击代码【来自阿里云】


Posted in PHP onJanuary 29, 2018

本文实例讲述了PHP实现的防止跨站和xss攻击代码。分享给大家供大家参考,具体如下:

文档说明:

1.将waf.php传到要包含的文件的目录

2.在页面中加入防护,有两种做法,根据情况二选一即可:

a).在所需要防护的页面加入代码

require_once('waf.php');

就可以做到页面防注入、跨站

如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!

添加require_once('waf.php');来调用本代码

常用php系统添加文件

PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
DEDECMS5.7 \data\common.inc.php
DiscuzX2   \config\config_global.php
Wordpress   \wp-config.php
Metinfo   \include\head.php

b).在每个文件最前加上代码

在php.ini中找到:

Automatically add files before or after any PHP document.

auto_prepend_file = waf.php路径;

PHP文件 waf.php

<?php
/*云体检通用漏洞防护补丁v1.1
更新时间:2013-05-25
功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞
*/
$url_arr=array(
'xss'=>"\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)",
);
$args_arr=array(
'xss'=>"[\\'\\\"\\;\\*\\<\\>].*\\bon[a-zA-Z]{3,15}[\\s\\r\\n\\v\\f]*\\=|\\b(?:expression)\\(|\\<script[\\s\\\\\\/]|\\<\\!\\[cdata\\[|\\b(?:eval|alert|prompt|msgbox)\\s*\\(|url\\((?:\\#|data|javascript)",
'sql'=>"[^\\{\\s]{1}(\\s|\\b)+(?:select\\b|update\\b|insert(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+into\\b).+?(?:from\\b|set\\b)|[^\\{\\s]{1}(\\s|\\b)+(?:create|delete|drop|truncate|rename|desc)(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+(?:table\\b|from\\b|database\\b)|into(?:(\\/\\*.*?\\*\\/)|\\s|\\+)+(?:dump|out)file\\b|\\bsleep\\([\\s]*[\\d]+[\\s]*\\)|benchmark\\(([^\\,]*)\\,([^\\,]*)\\)|(?:declare|set|select)\\b.*@|union\\b.*(?:select|all)\\b|(?:select|update|insert|create|delete|drop|grant|truncate|rename|exec|desc|from|table|database|set|where)\\b.*(charset|ascii|bin|char|uncompress|concat|concat_ws|conv|export_set|hex|instr|left|load_file|locate|mid|sub|substring|oct|reverse|right|unhex)\\(|(?:master\\.\\.sysdatabases|msysaccessobjects|msysqueries|sysmodules|mysql\\.db|sys\\.database_name|information_schema\\.|sysobjects|sp_makewebtask|xp_cmdshell|sp_oamethod|sp_addextendedproc|sp_oacreate|xp_regread|sys\\.dbms_export_extension)",
'other'=>"\\.\\.[\\\\\\/].*\\%00([^0-9a-fA-F]|$)|%00[\\'\\\"\\.]");
$referer=empty($_SERVER['HTTP_REFERER']) ? array() : array($_SERVER['HTTP_REFERER']);
$query_string=empty($_SERVER["QUERY_STRING"]) ? array() : array($_SERVER["QUERY_STRING"]);
check_data($query_string,$url_arr);
check_data($_GET,$args_arr);
check_data($_POST,$args_arr);
check_data($_COOKIE,$args_arr);
check_data($referer,$args_arr);
function W_log($log)
{
  $logpath=$_SERVER["DOCUMENT_ROOT"]."/log.txt";
  $log_f=fopen($logpath,"a+");
  fputs($log_f,$log."\r\n");
  fclose($log_f);
}
function check_data($arr,$v) {
 foreach($arr as $key=>$value)
 {
  if(!is_array($key))
  { check($key,$v);}
  else
  { check_data($key,$v);}
  if(!is_array($value))
  { check($value,$v);}
  else
  { check_data($value,$v);}
 }
}
function check($str,$v)
{
  foreach($v as $key=>$value)
  {
  if (preg_match("/".$value."/is",$str)==1||preg_match("/".$value."/is",urlencode($str))==1)
    {
      //W_log("<br>IP: ".$_SERVER["REMOTE_ADDR"]."<br>时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交数据: ".$str);
      print "您的提交带有不合法参数,谢谢合作";
      exit();
    }
  }
}
?>

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
初探PHP5
Oct 09 PHP
解决了Ajax、MySQL 和 Zend Framework 的乱码问题
Mar 03 PHP
PHP 危险函数全解析
Sep 09 PHP
php设计模式 Strategy(策略模式)
Jun 26 PHP
Linux下实现PHP多进程的方法分享
Aug 16 PHP
免费手机号码归属地API查询接口和PHP使用实例分享
Apr 10 PHP
PHP is_array() 检测变量是否是数组的实现方法
Jun 13 PHP
PHP使用GD库输出汉字的方法【测试可用】
Nov 10 PHP
PHP实现支付宝即时到账功能
Dec 21 PHP
PHP编程文件处理类SplFileObject和SplFileInfo用法实例分析
Jul 22 PHP
PHP排序算法之基数排序(Radix Sort)实例详解
Apr 21 PHP
php自定义排序uasort函数示例【二维数组按指定键值排序】
Jun 19 PHP
php实现的AES加密类定义与用法示例
Jan 29 #PHP
php 判断IP为有效IP地址的方法
Jan 28 #PHP
Laravel中unique和exists验证规则的优化详解
Jan 28 #PHP
win10 apache配置虚拟主机后localhost无法使用的解决方法
Jan 27 #PHP
PHP设计模式之注册树模式分析
Jan 26 #PHP
PHP微信开发之微信录音临时转永久存储
Jan 26 #PHP
PHP CURL与java http使用方法详解
Jan 26 #PHP
You might like
php设计模式  Command(命令模式)
2011/06/17 PHP
Laravel 5框架学习之子视图和表单复用
2015/04/09 PHP
php中关于长度计算容易混淆的问题分析
2016/05/27 PHP
灵活应用js调试技巧解决样式问题的步骤分享
2012/03/15 Javascript
鼠标移动到图片名上,显示图片的简单实例
2013/07/14 Javascript
js中小数转换整数的方法
2014/01/26 Javascript
JQuery中绑定事件(bind())和移除事件(unbind())
2015/02/27 Javascript
js实现iGoogleDivDrag模块拖动层拖动特效的方法
2015/03/04 Javascript
jQuery给动态添加的元素绑定事件的方法
2015/03/09 Javascript
JS组件Bootstrap Select2使用方法详解
2020/04/17 Javascript
JS &amp; JQuery 动态添加 select option
2016/06/08 Javascript
chrome下判断点击input上标签还是其余标签的实现方法
2016/09/18 Javascript
JavaScript实现汉字转换为拼音的库文件示例
2016/12/22 Javascript
微信小程序组件 marquee实例详解
2017/06/23 Javascript
bootstrap datepicker插件默认英文修改为中文
2017/07/28 Javascript
基于复选框demo(分享)
2017/09/27 Javascript
[01:59]翻天覆地,因你而变,7.20版本地图更新速览
2018/11/24 DOTA
Python中optparser库用法实例详解
2018/01/26 Python
Python WEB应用部署的实现方法
2019/01/02 Python
详解将Python程序(.py)转换为Windows可执行文件(.exe)
2019/07/19 Python
pytorch 利用lstm做mnist手写数字识别分类的实例
2020/01/10 Python
Keras中的多分类损失函数用法categorical_crossentropy
2020/06/11 Python
一家专门经营包包的英国网站:MyBag
2019/09/08 全球购物
俄罗斯极限运动网上商店:Board Shop №1
2020/12/18 全球购物
PHP解析URL是哪个函数?怎么用?
2013/05/09 面试题
目标管理责任书
2014/04/15 职场文书
《春晓》教学反思
2014/04/20 职场文书
政府领导干部个人对照检查材料思想汇报
2014/09/24 职场文书
会议主持词开场白
2015/05/28 职场文书
毕业设计答辩开场白
2015/05/29 职场文书
预备党员考察意见范文
2015/06/01 职场文书
婚礼伴郎致辞
2015/07/28 职场文书
新西兰:最新留学学习计划书写作指南
2019/07/15 职场文书
描写九月优美句子(39条)
2019/09/11 职场文书
MySQL七种JOIN类型小结
2021/10/24 MySQL
Python使用pyecharts控件绘制图表
2022/06/05 Python