<?php

 /**

  * 安全模块

  * Email:zhangyuan@tieyou.com

  * 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤

  * @author hkshadow

  */

 class safeMode{

     /**

      * 执行过滤

      * @param 1 linux/2 http/3 Db/ $group

      * @param 保存路径以及文件名/文件名/null $projectName

      */

     public function xss($group = 1,$projectName = NULL){

         //正则条件

         $referer = empty ( $_SERVER ['HTTP_REFERER'] ) ? array () : array ($_SERVER ['HTTP_REFERER'] );

         $getfilter = "'|<[^>]*?>|^\\+\/v(8|9)|\\b(and|or)\\b.+?(>|<|=|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

         $postfilter = "^\\+\/v(8|9)|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|<\\s*img\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

         $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

         // $ArrPGC=array_merge($_GET,$_POST,$_COOKIE);

         //遍历过滤

         foreach ( $_GET as $key => $value ) {

             $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName);

         }

         //遍历过滤

         foreach ( $_POST as $key => $value ) {

             $this->stopAttack ( $key, $value, $postfilter ,$group , $projectName);

         }

         //遍历过滤

         foreach ( $_COOKIE as $key => $value ) {

             $this->stopAttack ( $key, $value, $cookiefilter ,$group , $projectName);

         }

         //遍历过滤

         foreach ( $referer as $key => $value ) {

             $this->stopAttack ( $key, $value, $getfilter ,$group , $projectName);

         }

     }

     /**

      * 匹配敏感字符串,并处理

      * @param 参数key $strFiltKey

      * @param 参数value $strFiltValue

      * @param 正则条件 $arrFiltReq

      * @param 项目名 $joinName

      * @param 1 linux/2 http/3 Db/ $group

      * @param 项目名/文件名/null $projectName

      */

     public function stopAttack($strFiltKey, $strFiltValue, $arrFiltReq,$group = 1,$projectName = NULL) {

             $strFiltValue = $this->arr_foreach ( $strFiltValue );

             //匹配参数值是否合法

             if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltValue ) == 1) {

                 //记录ip

                 $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];

                 //记录操作时间

                 $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");

                 //记录详细页面带参数

                 $thePage = " 操作页面: ".$this->request_uri();

                 //记录提交方式

                 $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];

                 //记录提交参数

                 $key = " 提交参数: ".$strFiltKey;

                 //记录参数

                 $value = " 提交数据: ".htmlspecialchars($strFiltValue);

                 //写入日志

                 $strWord = $ip.$time.$thePage.$type.$key.$value;

                 //保存为linux类型

                 if($group == 1){

                     $this->log_result_common($strWord,$projectName);

                 }

                 //保存为可web浏览

                 if($group == 2){

                     $strWord .= "<br>";

                     $this->slog($strWord,$projectName);

                 }

                 //保存至数据库

                 if($group == 3){

                     $this->sDb($strWord);

                 }

                 //过滤参数

                 $_REQUEST[$strFiltKey] = '';

                 //这里不作退出处理

                 //exit;

             }

             //匹配参数是否合法

             if (preg_match ( "/" . $arrFiltReq . "/is", $strFiltKey ) == 1) {

                 //记录ip

                 $ip = "操作IP: ".$_SERVER["REMOTE_ADDR"];

                 //记录操作时间

                 $time = " 操作时间: ".strftime("%Y-%m-%d %H:%M:%S");

                 //记录详细页面带参数

                 $thePage = " 操作页面: ".$this->request_uri();

                 //记录提交方式

                 $type = " 提交方式: ".$_SERVER["REQUEST_METHOD"];

                 //记录提交参数

                 $key = " 提交参数: ".$strFiltKey;

                 //记录参数

                 $value = " 提交数据: ".htmlspecialchars($strFiltValue);

                 //写入日志

                 $strWord = $ip.$time.$thePage.$type.$key.$value;

                 //保存为linux类型

                 if($group == 1){

                     $this->log_result_common($strWord,$projectName);

                 }

                 //保存为可web浏览

                 if($group == 2){

                     $strWord .= "<br>";

                     $this->slog($strWord,$projectName);

                 }

                 //保存至数据库

                 if($group == 3){

                     $this->sDb($strWord);

                 }

                 //过滤参数

                 $_REQUEST[$strFiltKey] = '';

                 //这里不作退出处理

                 //exit;

             }

         }

     /**

      * 获取当前url带具体参数

      * @return string

      */

     public function request_uri() {

         if (isset ( $_SERVER ['REQUEST_URI'] )) {

             $uri = $_SERVER ['REQUEST_URI'];

         } else {

             if (isset ( $_SERVER ['argv'] )) {

                 $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['argv'] [0];

             } else {

                 $uri = $_SERVER ['PHP_SELF'] . '?' . $_SERVER ['QUERY_STRING'];

             }

         }

         return $uri;

     }

     /**

      * 日志记录(linux模式)

      * @param 保存内容 $strWord

      * @param 保存文件名$strPathName

      */

     public function log_result_common($strWord, $strPathName = NULL) {

         if($strPathName == NULL){

             $strPath = "/var/tmp/";

             $strDay = date('Y-m-d');

             $strPathName = $strPath."common_log_".$strDay.'.log';

         }

         $fp = fopen($strPathName,"a");

         flock($fp, LOCK_EX) ;

         fwrite($fp,$strWord." date ".date('Y-m-d H:i:s',time())."\t\n");

         flock($fp, LOCK_UN);

         fclose($fp);

     }  

     /**

      * 写入日志(支持http查看)

      * @param 日志内容 $strWord

      * @param web页面文件名 $fileName

      */

     public function slog($strWord,$fileName = NULL) {

         if($fileName == NULL){

             $toppath = $_SERVER ["DOCUMENT_ROOT"] . "/log.htm";

         }else{

             $toppath = $_SERVER ["DOCUMENT_ROOT"] .'/'. $fileName;

         }

         $Ts = fopen ( $toppath, "a+" );

         fputs ( $Ts, $strWord . "\r\n" );

         fclose ( $Ts );

     }

     /**

      * 写入日志(数据库)

      * @param 日志内容 $strWord

      */

     public function sDb($strWord){

         //....

     }

     /**

      * 递归数组

      * @param array $arr

      * @return unknown|string

      */

     public function arr_foreach($arr) {

         static $str = '';

         if (! is_array ( $arr )) {

             return $arr;

         }

         foreach ( $arr as $key => $val ) {

             if (is_array ( $val )) {

                 $this->arr_foreach ( $val );

             } else {

                 $str [] = $val;

             }

         }

         return implode ( $str );

     }

 }

 ?>

sql 注入安全过滤-安全模块的更多相关文章

  1. SQL注入攻防入门详解

    =============安全性篇目录============== 本文转载 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机 ...

  2. SQL注入攻防入门详解(2)

    SQL注入攻防入门详解 =============安全性篇目录============== 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱 ...

  3. [转]SQL注入攻防入门详解

    原文地址:http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html =============安全性篇目录============ ...

  4. 总结了关于PHP xss 和 SQL 注入的问题(转)

    漏洞无非这么几类,XSS.sql注入.命令执行.上传漏洞.本地包含.远程包含.权限绕过.信息泄露.cookie伪造.CSRF(跨站请求)等.这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何 ...

  5. 【实验吧】CTF_Web_简单的SQL注入之1

    题目链接:http://ctf5.shiyanbar.com/423/web/ 简单的SQL注入之1,比2,3都简单一些.利用2 的查询语句也可以实现:1'/**/union/**/select/** ...

  6. 【转载】SQL注入攻防入门详解

    滴答…滴答…的雨,欢迎大家光临我的博客. 学习是快乐的,教育是枯燥的. 博客园  首页  博问  闪存    联系  订阅 管理 随笔-58 评论-2028 文章-5  trackbacks-0 站长 ...

  7. sql 注入入门

    =============安全性篇目录============== 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关 ...

  8. 关于PHP xss 和 SQL 注入的问题

    漏洞无非这么几类,XSS.sql注入.命令执行.上传漏洞.本地包含.远程包含.权限绕过.信息泄露.cookie伪造.CSRF(跨站请求)等.这些漏洞不仅仅是针对PHP语言的,PHP如何有效防止这些漏洞 ...

  9. SQL注入漏洞技术的详解

    SQL注入漏洞详解 目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 Up ...

随机推荐

  1. Spark(二) -- Spark简单介绍

    spark是什么? spark开源的类Hadoop MapReduce的通用的并行计算框架 spark基于map reduce算法实现的分布式计算 拥有Hadoop MapReduce所具有的优点 但 ...

  2. MAC下安装Mysql数据库

    步骤一:安装 登录官网:mysql数据库下载官网下载合适的版本 下载完成后,在Finder的侧边栏为下载的目录中,找到下载完成的文档. 单击下载文档,单击MySQL-5.6.22-osx10.8-x8 ...

  3. javascript中按位操作的应用,如何快速取整 判断字符串是否是包含某字符串

    最近在看最基础的<javascript高级程序设计>看的灰常慢,看到按位运算这里,突然反思,这种鬼操作到底有什么实际的应用呢? 按位运算符有6个 & 按位与:a & b | ...

  4. django迁移model到别的app中

    举例: 移动 users.AccessKey 到 authentication.AccessKey中 1. 移动models到新的app中 $ mv users/models/access_key.p ...

  5. IOS Appstore价格表

  6. LoadRunner测试WebService的3种方式

    LR在WebService虚拟用户协议中支持两种方式测试WebService,一种是通过“Add Service Call”的方式,一种是Import SOAP的方式. Import SOAP的方式需 ...

  7. Java模式开发之责任链模式

    Java模式开发之责任链模式 从击鼓传花谈起 击鼓传花是一种热闹而又紧张的饮酒游戏.在酒宴上宾客依次坐定位置,由一人击鼓.击鼓的地方与传花的地方是分开的.以示公正. 開始击鼓时,花束就開始依次传递,鼓 ...

  8. C++五种迭代器之间的关系

    迭代器操作                      说明(1)所有迭代器p++                              后置自增迭代器++p                     ...

  9. svn命令行版本回滚

    下面以版本号2011回滚到2010为例,在命令行输入: svn merge --dry-run -r 2011:2010 http://my.repository.com/my/project/tru ...

  10. Mysql中处理1970年前的日期(unixtime为负数的情况)负数时间戳格式化

    客户扔过来一个bug,说是一个系统中对42岁以上的人的统计不正确,而41岁以下的人没有问题.眼睛瞟了一下托盘区里的日期,2012年3月26日,嗯,今年42岁的话,那么应该就是出生在1970年左右,马上 ...