PHP 一句话过滤 我的网站被入侵了,联系到那个入侵者提供漏洞信息时,他只说了: 一句话过滤不完整,导致可以利用PHP一句话木马连接。这句话是什么意思?不懂。我想弄明白接着去填补漏洞。在某个页面还有这样的字符 <%eval request("pass")%> 。这句是ASP的吧,怎么没有解析出来?我这个网站是PHP的。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 你网站的表单处理url处理是不是过滤了非法字符和字符串,是否在表单提交的时候做了防注入控制! /* 过滤_GET_POST_COOKIE_SESSION_FILES过来变量------------------------------------------------------------- */ foreach ($_GET as $get_key=>$get_var) { if (is_numeric($get_var)) { $get[strtolower($get_key)] = get_int($get_var); }else{ $get[strtolower($get_key)] = get_str($get_var); } } /* 过滤所有POST过来的变量 */ foreach ($_POST as $post_key=>$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } foreach ($_POST as $post_key=>$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } /* 过滤函数 */ //整型过滤函数 function get_int($number) { return intval($number); } //字符串型过滤函数 function get_str($string) { if (!get_magic_quotes_gpc()) { return addslashes($string); } return $string; } 还有 ,所有insert update select 数据部分都用'{$var}' 而不用 .$var.形式 把eval 屏蔽,是输入域都过滤关键字或者转义替换 谢谢大家的回答,过了这么久忘了结贴。对于字符过滤,在PHP.ini里有个设置,magic_quotes_gpc 、magic_quotes_runtime 将这两个设置好。具体请Google。当然如果是用空间的话,先用magic_quotes_gpc()或magic_quotes_runtime函数检查服务商以上函数的设置,以免斜杠前再被添加斜杠,导致出错。 pcntl多进程 mysql has gone away 快要交作业了,我的SESSION还不能用,哪位高手帮帮我? php utf-8 乱码 IE 6 PHP企业级开发精英就业课程(LAMP全能就业课程) 请问如何完成页面跳转后的自动刷新操作 站内搜索的bug 年底到了,求职PHP程序员 希望大家给我一点鼓励 如何提取这样数据结构的文件内容? 想找人合做网站 fgetcsv函数上传文件 写入数据时存在的问题 PHP中使用zend studio 怎么配置环境
foreach ($_GET as $get_key=>$get_var)
{
if (is_numeric($get_var)) {
$get[strtolower($get_key)] = get_int($get_var);
}else{
$get[strtolower($get_key)] = get_str($get_var);
}
}
/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
if (is_numeric($post_var)) {
$post[strtolower($post_key)] = get_int($post_var);
} else {
$post[strtolower($post_key)] = get_str($post_var);
}
}
foreach ($_POST as $post_key=>$post_var)
{
if (is_numeric($post_var)) {
$post[strtolower($post_key)] = get_int($post_var);
} else {
$post[strtolower($post_key)] = get_str($post_var);
}
}
/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
if (!get_magic_quotes_gpc()) {
return addslashes($string);
}
return $string;
}
当然如果是用空间的话,先用magic_quotes_gpc()或magic_quotes_runtime函数检查服务商以上函数的设置,以免斜杠前再被添加斜杠,导致出错。