Cómo prevenir ataques de inyección de código PHP
La inyección general de HTML agrega etiquetas a la cadena html. Esta parte del código se puede eliminar utilizando el siguiente código JAVA.
El código es el siguiente, encapsulándose en un método.
String msge = "asdasdasdasd
System.out.println(msge
msge =); msge.replace("&", "&. ");
msge = msge.replace("<", "<"); ", " ");
msge = msge.replace(">", ">");
msge = msge.replace("\", """);
msge = msge.replace("'", "&qpos;");
System.out.println(msge);
Dos: Prevenir SQL Inyección
La forma más sencilla y sencilla es restringir la entrada del usuario.
Una forma más sencilla es no permitir que los usuarios introduzcan comillas simples y --, porque las comillas simples -- en SQL lo harán. Afecta la ejecución.
Pero la inyección de SQL es multifacética y hay muchas formas de evitarla.
1. Deshabilite los caracteres especiales en la barra de direcciones para evitar la inyección de SQL. p> No permitir el envío de caracteres especiales (como y, o ', ") puede evitar la inyección.
2.php filtra cadenas html para evitar la inyección de SQL
Filtrar publicaciones por lotes para obtener datos confidenciales
$_GET = stripslashes_array($_GET
p>
$_POST = stripslashes_array($_POST );
Funciones de filtrado de datos
función stripslashes_array(&$array) {
while(list( $key,$var) = each($array)) {
if ($key != 'argc' && $key ! = 'argv' && (strtoupper($key) ! = $clave | | ''.intval($clave)=="$clave")){
if (is_string($var)) {
$matriz[$clave ] = tiras de barras( $var);
}.
if (is_array($var )){
$array[$key] = stripslashes_array($var ))
}
}
}
return $array;
}
3. etiqueta
función lib_replace_end_tag($str)
{
if (empty($str)) devuelve falso
$str = htmlspecialchars ($cadena);
$cadena = str_ replace( '/', "", $cadena = str_replace("\", "", $); str );
$str = str_replace(">", "", $str
$str = str_replace("<", "", $str); /p>
p>
$str = str_replace("<", "", $str
$str = str_replace("", "", $cadena
$cadena = str_replace("seleccionar", "seleccionar"); ,$str);
$str=str_replace("unir", "unir",$str
$str=str_replace("unión", "unión",$); str);
$str=str_replace("dónde", "dónde","$str);
$str=str_replace("insertar", "insertar",$str);
$str=str_replace("eliminar", "eliminar",$str
$str=str_ reemplazar("actualizar", "actualizar",$str);
$str=str_replace("me gusta", "me gusta",$str
$str=str_replace("soltar", "soltar",$str); /p>
$str=str_replace("crear", "crear",$str
$str=str_replace("modificar", "modificar",$str); >
$str =str_replace("rename", "rename", $str);
$str=str_replace("alterar", "alterar",$str
<); p>$str=str_replace ("cas", "cast",$str$str=str_replace("&","&&",$str); p>$cadena= str_replace(">",">",$cadena
$str=str_replace("<","<",$cadena
$str=str_replace(" ",chr (32),$cadena);
$str=str_replace(" ",chr(9),$str
$str=str_replace(" ",chr(9),$str);
p>
$str=str_replace("&",chr(34),$cadena
$str=str_replace("&",chr(39),$); str);
p>
$str=str_replace("<br />",chr(13),$str); '", "'",$str);
$str=str_replace("'', "'",$str);
$str=str_replace( "'"); ,$cadena);
$cadena=str_replace("css","'",$cadena
$str=str_replace("CSS","'",$); str);
return $str;
}
En tercer lugar, déjelo en manos de herramientas profesionales
Instalar el software de seguridad en el servidor. "Security Dog", puede establecer configuraciones anti-inyección, anti-ataques, etc. Siempre que configure reglas de seguridad, puede bloquear la intrusión de la mayoría de los ataques.