PHP防注入话不多说直接看代码
PHP防注入,主要是为了防止恶意写入后台数据库; //防注入函数 function inject_check($sql_str){ $check=eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file |outfile', $sql_str); if($check){ echo "输入非法内容"; exit(); }else{ return $sql_str; } } //接收传递参数后进行转换 $_GET[type]=inject_check($_GET[type]); //之后再使用转换后的参数
PHP伪静态函数,本人原创,仅供学习交流使用,如用于正常开发出现安全问题一切与本人无关。
/** * @abstract 处理PHP URL 实习伪静态功能 * @author yangqijun 2011-03-07 youngqj@126.com * @version 1.0 */ function url_rewrite(){ global $_GET; $url=array(); $tem=array(); $nav=$_SERVER["REQUEST_URI"]; $script_name=$_SERVER["SCRIPT_NAME"]; $info=$_SERVER['PATH_INFO']; if(str_isNULL($info)) { return false; } if(IS_REWRITE) //<< 判断服务器是否开启rewrite 模块 { $nav=$script_name.$info; } $nav=substr(ereg_replace("^$script_name","",urldecode($nav)),1); if(substr($nav,strlen($nav)-1,1) == '/') { $nav = substr($nav,0,-1); } $nav=strtolower($nav); $_GET = explode("/",$nav); if(strpos($_GET[0],'&')) { $arg=explode('&',$_GET[0]); $url[0]=$arg[0]; foreach ($arg as $k=>$val) { if(strpos($val,'=')) { $param=explode('=',$val); $tem[$param[0]]= $param[1] ; } } $url[1]=$tem; $arg=$url; } else { $arg =$_GET[0]; } return $arg ; unset($tem); unset($url); }
简单调用代码如下:
define('IS_REWRITE',false); //服务器是否开启rewrite session_start(); include 'function.php'; $filename = basename($_SERVER['SCRIPT_NAME']); $arg=url_rewrite(); $route=array(); if(!$arg) { if(!check_userLogin()) { header("Location:$filename/login"); } else { header("Location:$filename/demo"); } } else if(!is_array($arg)&&$arg!='login'&&$arg!='reg') { if(!check_userLogin()) { header("Location:login"); } $controller=$arg; } else if(is_array($arg)) { if (is_array($arg[1])) { foreach ( $arg[1] as $key => $value ) { $route [$key] = $value; } } $controller=$arg[0]; } else { $controller=$arg; } display($controller);
上代码中的display()函数如下:
function display($view) { global $runtime,$route; @extract($route); $classname = ucwords(strtolower($view)); $view = $view .'.php'; $viewpath = $view; $siteurl='http://'.$_SERVER[HTTP_HOST].':'.$_SERVER[SERVER_PORT].'/'.SYS_DIR; if (! file_exists ( $viewpath )) exit ( 'The views ' . $view . ' is not exists!' ); require $viewpath; }
最后伪静态路径为index.php/login&username=demo&password=123
PS:根据自己需要可以修改url_rewrite()函数里的分隔符 比如可以将&改为-
您还没有登录,请您登录后再发表评论
伪静态注入中转PHP版本 土司出品 方便大家测试使用
本文实例讲述了PHP针对伪静态的注入。分享给大家供大家参考,具体如下: 一:中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤: ...
ASP伪静态大师适用与任何ASP网站,可使用任意字符串作为连接的后缀名,也可直接将连接加密,有利益网站的优化和推广,有利于防注入攻击等,傻瓜式配置,不懂ASP的也可轻松配置出你想要的后缀名伪静态。如(将.asp...
伪静态技术比较好突破,需要自己构造中转注入页面;伪静态技术原理都很简单,就是把原来的 index.php?id=1 这种形式的URL给替换成其它形式
调整了Receive模块配置文件中防注入的规则;调整了各模块引用配置文件的路径找寻方式;调整了缓存编译时的引用各模块的路径找寻方式;调整了编译模块中读取模板文件时使用的权限;调整了示例Hello World页面中的内容...
PHP静态化的简单理解就是使网站生成页面以静态HTML的形式展现在访客面前,PHP静态化分纯静态化和伪静态化,两者的区别在于PHP生成静态页面的处理机制不同。 为什么要让网页静态化 一、加快页面打开浏览速度,静态...
因此,本框架也就无需进行路由操作,如果您有特别的需求,您可以在服务器中或者虚拟主机的控制面板中进行伪静态规则的编写(目前的虚拟主机大多已支持伪静态配置)。 Q:84PHP有自己的语法吗? A:有,且只有一条:#...
PHPAPP 是EDOOG 旗下新产品,全球领先的网站应用系统。PHPAPP 全球网站应用的开创者,独创系统核心...2.完美的 优化SEOPHPAPP 支持 自定义 伪静态URL和生成HTML静态部属,与应用的SEO设定完善解决 SEO优化问题。可以对U
修复发布信息和企业的时候sql注入的bug。 修复可删除任意评论的bug。 修复可查看任何交易记录的bug。 修复备份数据可能暴力破解的bug。(请删除已经备份的数据,以防被下载) 漏洞威胁较大,建议尽快升级。
1\无需数据库支持,防注入与sql攻击. 2\数据以文件夹方式存储,无限分类,无限记录条数. 3\支持多语言,多模板,自定义变量,信息页自定义项. 4\支持伪地址,灵活定义地址参数. 5\运用国际流行的SMARTY技术,参数可调. 6\...
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。
双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用) 新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址 无模版替换 使用纯 php 代码为模版引擎 提高一定速度...
号 用/代替)双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用)新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址无模版替换 使用纯 php 代码为模版引擎 ...
双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用) 新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址 无模版替换 使用纯 php 代码为模版引擎 提高一定...
相关推荐
伪静态注入中转PHP版本 土司出品 方便大家测试使用
本文实例讲述了PHP针对伪静态的注入。分享给大家供大家参考,具体如下: 一:中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤: ...
ASP伪静态大师适用与任何ASP网站,可使用任意字符串作为连接的后缀名,也可直接将连接加密,有利益网站的优化和推广,有利于防注入攻击等,傻瓜式配置,不懂ASP的也可轻松配置出你想要的后缀名伪静态。如(将.asp...
ASP伪静态大师适用与任何ASP网站,可使用任意字符串作为连接的后缀名,也可直接将连接加密,有利益网站的优化和推广,有利于防注入攻击等,傻瓜式配置,不懂ASP的也可轻松配置出你想要的后缀名伪静态。如(将.asp...
ASP伪静态大师适用与任何ASP网站,可使用任意字符串作为连接的后缀名,也可直接将连接加密,有利益网站的优化和推广,有利于防注入攻击等,傻瓜式配置,不懂ASP的也可轻松配置出你想要的后缀名伪静态。如(将.asp...
伪静态技术比较好突破,需要自己构造中转注入页面;伪静态技术原理都很简单,就是把原来的 index.php?id=1 这种形式的URL给替换成其它形式
调整了Receive模块配置文件中防注入的规则;调整了各模块引用配置文件的路径找寻方式;调整了缓存编译时的引用各模块的路径找寻方式;调整了编译模块中读取模板文件时使用的权限;调整了示例Hello World页面中的内容...
PHP静态化的简单理解就是使网站生成页面以静态HTML的形式展现在访客面前,PHP静态化分纯静态化和伪静态化,两者的区别在于PHP生成静态页面的处理机制不同。 为什么要让网页静态化 一、加快页面打开浏览速度,静态...
因此,本框架也就无需进行路由操作,如果您有特别的需求,您可以在服务器中或者虚拟主机的控制面板中进行伪静态规则的编写(目前的虚拟主机大多已支持伪静态配置)。 Q:84PHP有自己的语法吗? A:有,且只有一条:#...
PHPAPP 是EDOOG 旗下新产品,全球领先的网站应用系统。PHPAPP 全球网站应用的开创者,独创系统核心...2.完美的 优化SEOPHPAPP 支持 自定义 伪静态URL和生成HTML静态部属,与应用的SEO设定完善解决 SEO优化问题。可以对U
修复发布信息和企业的时候sql注入的bug。 修复可删除任意评论的bug。 修复可查看任何交易记录的bug。 修复备份数据可能暴力破解的bug。(请删除已经备份的数据,以防被下载) 漏洞威胁较大,建议尽快升级。
1\无需数据库支持,防注入与sql攻击. 2\数据以文件夹方式存储,无限分类,无限记录条数. 3\支持多语言,多模板,自定义变量,信息页自定义项. 4\支持伪地址,灵活定义地址参数. 5\运用国际流行的SMARTY技术,参数可调. 6\...
PHPAPP 是EDOOG 旗下新产品,全球领先的网站应用系统。PHPAPP 全球网站应用的开创者,独创系统核心...2.完美的 优化SEOPHPAPP 支持 自定义 伪静态URL和生成HTML静态部属,与应用的SEO设定完善解决 SEO优化问题。可以对U
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。
双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用) 新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址 无模版替换 使用纯 php 代码为模版引擎 提高一定速度...
双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用) 新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址 无模版替换 使用纯 php 代码为模版引擎 提高一定速度...
号 用/代替)双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用)新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址无模版替换 使用纯 php 代码为模版引擎 ...
双模式(伪静态附带自动生成静态 已后台 缓存时间 为准 iis下伪静态组建bug无法使用) 新增内容页 关键字 连接本页面地址 详细内容里面 自动加接接 连接本页面地址 无模版替换 使用纯 php 代码为模版引擎 提高一定...