Red de conocimiento informático - Conocimiento informático - Cómo prevenir ataques de inyección de código PHP

Cómo prevenir ataques de inyección de código PHP

1. Prevención de inyección de HTML.

La inyección general de HTML agrega etiquetas a la cadena html. Esta parte del código se puede eliminar utilizando el siguiente código JAVA.

El código es el siguiente, encapsulándose en un método.

String msge = "asdasdasdasd

asdfsdf";

System.out.println(msge

msge =); msge.replace("&", "&. ");

msge = msge.replace("<", "<"); ", " ");

msge = msge.replace(">", ">");

msge = msge.replace("\", """);

msge = msge.replace("'", "&qpos;");

System.out.println(msge);

Dos: Prevenir SQL Inyección

La forma más sencilla y sencilla es restringir la entrada del usuario.

Una forma más sencilla es no permitir que los usuarios introduzcan comillas simples y --, porque las comillas simples -- en SQL lo harán. Afecta la ejecución.

Pero la inyección de SQL es multifacética y hay muchas formas de evitarla.

1. Deshabilite los caracteres especiales en la barra de direcciones para evitar la inyección de SQL. p> No permitir el envío de caracteres especiales (como y, o ', ") puede evitar la inyección.

2.php filtra cadenas html para evitar la inyección de SQL

Filtrar publicaciones por lotes para obtener datos confidenciales

$_GET = stripslashes_array($_GET

p>

$_POST = stripslashes_array($_POST );

Funciones de filtrado de datos

función stripslashes_array(&$array) {

while(list( $key,$var) = each($array)) {

if ($key != 'argc' && $key ! = 'argv' && (strtoupper($key) ! = $clave | | ''.intval($clave)=="$clave")){

if (is_string($var)) {

$matriz[$clave ] = tiras de barras( $var);

}.

if (is_array($var )){

$array[$key] = stripslashes_array($var ))

}

}

}

}

return $array;

}

3. etiqueta

función lib_replace_end_tag($str)

{

if (empty($str)) devuelve falso

$str = htmlspecialchars ($cadena);

$cadena = str_ replace( '/', "", $cadena = str_replace("\", "", $); str );

$str = str_replace(">", "", $str

$str = str_replace("<", "", $str); /p>

p>

$str = str_replace("<", "", $str

$str = str_replace("", "", $cadena

$cadena = str_replace("seleccionar", "seleccionar"); ,$str);

$str=str_replace("unir", "unir",$str

$str=str_replace("unión", "unión",$); str);

$str=str_replace("dónde", "dónde","$str);

$str=str_replace("insertar", "insertar",$str);

$str=str_replace("eliminar", "eliminar",$str

$str=str_ reemplazar("actualizar", "actualizar",$str);

$str=str_replace("me gusta", "me gusta",$str

$str=str_replace("soltar", "soltar",$str); /p>

$str=str_replace("crear", "crear",$str

$str=str_replace("modificar", "modificar",$str); >

$str =str_replace("rename", "rename", $str);

$str=str_replace("alterar", "alterar",$str

<); p>$str=str_replace ("cas", "cast",$str

$str=str_replace("&","&&",$str); p>$cadena= str_replace(">",">",$cadena

$str=str_replace("<","<",$cadena

$str=str_replace(" ",chr (32),$cadena);

$str=str_replace(" ",chr(9),$str

$str=str_replace(" ",chr(9),$str);

p>

$str=str_replace("&",chr(34),$cadena

$str=str_replace("&",chr(39),$); str);

p>

$str=str_replace("<br />",chr(13),$str); '", "'",$str);

$str=str_replace("'', "'",$str);

$str=str_replace( "'"); ,$cadena);

$cadena=str_replace("css","'",$cadena

$str=str_replace("CSS","'",$); str);

return $str;

}

En tercer lugar, déjelo en manos de herramientas profesionales

Instalar el software de seguridad en el servidor. "Security Dog", puede establecer configuraciones anti-inyección, anti-ataques, etc. Siempre que configure reglas de seguridad, puede bloquear la intrusión de la mayoría de los ataques.