PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库 -

ldl_xz

浏览: 68778 次
性别:
来自: 南京

最近访客更多访客>>

rocex

another123

3505899448

ZTR

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库

博客分类：

web技术

由于该模块在项目中的要求是不能提示任何信息，也不作断点操作，只作记录并且过滤危险参数。

主要功能：拦截攻击者注入恶意代码，可以防御诸如跨站脚本攻击（XSS）、SQL注入攻击等恶意攻击行为。

<?php
/**
 * 安全模块
 * 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤
 */
class safeMode{

    /**
     * 执行过滤
     * @param 1 linux/2 http/3 Db/ $group
     * @param 保存路径以及文件名/文件名/null $projectName
     */
    public function xss($group = 1,$projectName = NULL){
        //正则条件
        $referer = empty ( $_SERVER ['HTTP_REFERER'] ) ? array () : array ($_SERVER ['HTTP_REFERER'] );
        $getfilter = "'|<[^>]*?>|^\\+\/v(8|9)|\\b(and|or)\\b.+?(>|<|=|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
        $postfilter = "^\\+\/v(8|9)|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|<\\s*img\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
        $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*\\/?script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

        // $ArrPGC=array_merge($_GET,$_POST,$_COOKIE);

        //遍历过滤
        foreach ( $_GET as $key => $value ) {
            $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName,'get');
        }
        //遍历过滤
        foreach ( $_POST as $key => $value ) {
            $this->stopAttack ( $key, $value, $postfilter ,$group , $projectName,'post');
        }
        //遍历过滤
        foreach ( $_COOKIE as $key => $value ) {
            $this->stopAttack ( $key, $value, $cookiefilter ,$group , $projectName,'cookie');
        }
        //遍历过滤
        foreach ( $referer as $key => $value ) {
            $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName,'referer');
        }
    }

    /**
     * 匹配敏感字符串，并处理
     * @param 参数key $strFiltKey
     * @param 参数value $strFiltValue
     * @param 正则条件 $arrFiltReq
     * @param 项目名 $joinName
     * @param 1 linux/2 http/3 Db/ $group
     * @param 项目名/文件名/null $projectName
     */
    public function stopAttack($strFiltKey, $strFiltValue, $arrFiltReq,$group = 1,$projectName = NULL,$method_type) {

            $strFiltValue = $this->arr_foreach ( $strFiltValue );
            //匹配参数值是否合法
            if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltValue ) == 1) {
                //记录ip
                $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];
                //记录操作时间
                $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");
                //记录详细页面带参数
                $thePage = " 操作页面: ".$this->request_uri();
                //记录提交方式
                $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];
                //记录提交参数
                $key = " 提交参数: ".$strFiltKey;
                //记录参数
                $value = " 提交数据: ".htmlspecialchars($strFiltValue);
                //写入日志
                $strWord = $ip.$time.$thePage.$type.$key.$value;
                //过滤值 rin 20140310
                if($method_type=='get'){
                    $_GET[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_POST[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_COOKIE[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }else if($method_type=='post'){
                    $_SERVER[$strFiltKey] = preg_replace("/" . $arrFiltReq . "/is","",$strFiltValue);
                }
                //保存为linux类型
                if($group == 1){
                    $this->log_result_common($strWord,$projectName);
                }
                //保存为可web浏览
                if($group == 2){
                    $strWord .= "<br>";
                    $this->slog($strWord,$projectName);
                }
                //保存至数据库
                if($group == 3){
                    $this->sDb($strWord);   
                }
                //过滤参数
                $_REQUEST[$strFiltKey] = '';
                //这里不作退出处理
                //exit;
            }

            //匹配参数是否合法
            if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltKey ) == 1) {
                //记录ip
                $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];
                //记录操作时间
                $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");
                //记录详细页面带参数
                $thePage = " 操作页面: ".$this->request_uri();
                //记录提交方式
                $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];
                //记录提交参数
                $key = " 提交参数: ".$strFiltKey;
                //记录参数
                $value = " 提交数据: ".htmlspecialchars($strFiltValue);
                //写入日志
                $strWord = $ip.$time.$thePage.$type.$key.$value;
                //保存为linux类型
                if($group == 1){
                    $this->log_result_common($strWord,$projectName);
                }
                //保存为可web浏览
                if($group == 2){
                    $strWord .= "<br>";
                    $this->slog($strWord,$projectName);
                }
                //保存至数据库
                if($group == 3){
                    $this->sDb($strWord);   
                }
                //过滤参数
                $_REQUEST[$strFiltKey] = '';
                //这里不作退出处理
                //exit;
            }
        }

    /**
     * 获取当前url带具体参数
     * @return string
     */
    public function request_uri() {
        if (isset ( $_SERVER ['REQUEST_URI'] )) {
            $uri = $_SERVER ['REQUEST_URI'];
        } else {
            if (isset ( $_SERVER ['argv'] )) {
                $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['argv'] [0];
            } else {
                $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['QUERY_STRING'];
            }
        }
        return $uri;
    }


    /**
     * 日志记录(linux模式)
     * @param 保存内容 $strWord
     * @param 保存文件名$strPathName
     */
    public function log_result_common($strWord, $strPathName = NULL) {
        if($strPathName == NULL){
            $strPath = "/var/tmp/";
            $strDay = date('Y-m-d');
            $strPathName = $strPath."common_log_".$strDay.'.log';
        }

        $fp = fopen($strPathName,"a");
        flock($fp, LOCK_EX) ;
        fwrite($fp,$strWord." date ".date('Y-m-d H:i:s',time())."\t\n");
        flock($fp, LOCK_UN);
        fclose($fp);
    }  

    /**
     * 写入日志(支持http查看)
     * @param 日志内容 $strWord
     * @param web页面文件名 $fileName
     */
    public function slog($strWord,$fileName = NULL) {
        if($fileName == NULL){
            $toppath = $_SERVER ["DOCUMENT_ROOT"] . "/log.htm";
        }else{
            $toppath = $_SERVER ["DOCUMENT_ROOT"] .'/'. $fileName;
        }
        $Ts = fopen ( $toppath, "a+" );
        fputs ( $Ts, $strWord . "\r\n" );
        fclose ( $Ts );
    }

    /**
     * 写入日志(数据库)
     * @param 日志内容 $strWord
     */
    public function sDb($strWord){
        //....
    }

    /**
     * 递归数组
     * @param array $arr
     * @return unknown|string
     */
    public function arr_foreach($arr) {
        static $str = '';
        if (! is_array ( $arr )) {
            return $arr;
        }
        foreach ( $arr as $key => $val ) {
            if (is_array ( $val )) {
                $this->arr_foreach ( $val );
            } else {
                $str [] = $val;
            }
        }
        return implode ( $str );
    }
}
?>

//实例类库
$safeMode = new safeMode();
//这里的参数指的的时 类型，保存的文件名，具体请看类注视。
$safeMode->xss(2,'test.html');

转载自:http://www.9958.pw/post/php_xss_sql

分享到：

如何阻止移动设备(手机,pad)浏览器双击放 ... | 网站敏感骂人词库及算法（附6仟个敏感词）

2016-06-19 21:45
浏览 776
评论(0)
分类:Web前端
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库

评论

发表评论

相关推荐

项目管理之如何控制项目进度和质量

15 个非常棒的 CSS3 效果教程

前20名的不安全密码（需要避免）

js实现图片放大缩小后进行的复杂排序

史上最全ajax（原生JS,javascript版，非jquery）详细注释！

php千万级pv架构经验分享

ecshop 时间问题请注意 /data/config.php

目前比较流行的二维码的生成

如何阻止移动设备(手机,pad)浏览器双击放大网页？

网站敏感骂人词库及算法（附6仟个敏感词）

jQuery制作元素在屏幕中水平垂直居中效果

纯CSS画的基本图形（矩形、圆形、三角形、多边形、爱心、八卦等）

分享一个JQuery写的点击上下滚动的小例子

精美的国外扁平化网页设计作品

提交您的博客到各大网站

推荐7个 CSS3 制作的创意下拉菜单效果

Dev Http Client（Chrome的HTTP插件）

好的用户界面-界面设计的一些技巧

项目组制定的一份页面优化指南

mysql数据库sql优化原则

最近访客更多访客>>