?
看之前牢記一句老話:一切用戶輸入的都是不安全的。
1 不要依賴于服務器端的magic_quotes,雖然他們默認都是打開的(magic_quotes_gpc)
將下面兩個關閉
ini_set("magic_quotes_runtime", 0);
ini_set("magic_quotes_sybase", 0);
?? 全部自己手工對所有變量添加magic_quotes,就是添加addslashes
?? 代碼如下:
?? function stripslashes_deep($value){
? $value = is_array($value) ?
???? array_map('stripslashes_deep', $value) :
???? stripslashes($value);
? return $value;
?? }
???
? function strip_slashes(){
?? // If already slashed, strip.
?? //把原有的slash去掉,重新添加自己的magic_quotes
?? if ( get_magic_quotes_gpc() ) {
???? $_GET??? = stripslashes_deep($_GET?? );
???? $_POST?? = stripslashes_deep($_POST? );
???? $_COOKIE = stripslashes_deep($_COOKIE);
???? $_SERVER = stripslashes_deep($_SERVER);
???? $_REQUEST = stripslashes_deep($_REQUEST);
?? }
?? $_GET??? = add_magic_quotes($_GET?? );
?? $_POST?? = add_magic_quotes($_POST? );
?? $_COOKIE = add_magic_quotes($_COOKIE);
?? $_SERVER = add_magic_quotes($_SERVER);
?? $_REQUEST = add_magic_quotes($_REQUEST);
? }
? strip_slashes();
??
?? 顯示的時候全部stripslashes還原,雖然這很麻煩,不過如果你有一個模板引擎,可以在變量賦值的時候,統一作這個事情,
?? 例如:?function assign($var, $value = '') {
??if (is_array($var)) {
???foreach ($var as $k => $v) {
????$this->vars[$k] = stripslashes_deep($v);
???}
??} else {
???$this->vars[$var] = stripslashes_deep($value);
??}
?}
? 這樣可以避免' " \ 等符號,下面還會有說明
2 對于用戶名這樣的字段,輸入時候,檢查不允許有空格,而且必須是字母數字下劃線或劃線這四種,用正則檢查
? 還有諸如結點名,菜單名,角色名這些不需要用' " \的,一定要在錄入之前就檢查,或者用替換為空
3 所有ID為數字的變量,必須檢查是否為數字,并將變量強制轉換成數字
? 如果ID是前面帶0的或者字符型的,可用編碼規則對其進行檢查,例如全是數字的正則
4 對于php的mysql函數,由于天生一次只能執行一條語句,即;不會自動斷。所以無法通過追加語句實現注入,只可能通過將語句插入到變量中來起作用注入,所以對于delete ,select,update都可能有破壞作用。
例如:delete from tbl_users where user_id = 'admin' 變成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在輸入欄為:admin or user_id<>'0
? 所以對于變量參數:
? 不該有空格的,空格要去掉
? 該位數字的,一定要轉換成數字
? 有編碼規則的,一定要檢查編碼規則
? 有長度限制的一定要加入長度限制
? 絕對不會有注入語句的,就篩查sql關鍵字
? 將一些危險字符進行替換,例如用“代替",空格用%20代替,特殊字符轉成html等等
? 當然用addslashes還是有明顯效果的,對于php來說,要想在變量中插入條件,必須通過'來完成,所以這一招可以徹底斷了所有企圖
?
5 apache,php,mysql不要以系統用戶運行
6 連接mysql不要用root
7 系統的所有錯誤信息必須關閉或者屏蔽
8 屏蔽非主流瀏覽器的user-agent
9 記錄所有的sql操作和用戶ip,如果發現危險語句,可以立刻屏蔽該IP,例如3天
? 如果是用戶登錄后,有危險sql注入的語句,直接刪除該用戶,同時屏蔽IP
10 對于驗證碼要可以采用使用中文,變換字符串樣式,必須點擊彈出等方法
11 如果還是不安全,就要像電子銀行那樣,用U盾和專用控件了
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1784617
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061

微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
