这篇文章主要介绍了php实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、xss攻击等的过滤功能,需要的朋友可以参考下
本文实例讲述了php实现的防止跨站和xss攻击代码。分享给大家供大家参考，具体如下：
文档说明：
1.将waf.php传到要包含的文件的目录
2.在页面中加入防护，有两种做法，根据情况二选一即可：
a).在所需要防护的页面加入代码
require_once('waf.php');
就可以做到页面防注入、跨站
如果想整站防注，就在网站的一个公用文件中，如数据库链接文件config.inc.php中！
添加require_once('waf.php');来调用本代码
常用php系统添加文件
phpcms v9 \phpcms\base.php
phpwind8.7 \data\sql_config.php
dedecms5.7 \data\common.inc.php
discuzx2 \config\config_global.php
wordpress \wp-config.php
metinfo \include\head.php
b).在每个文件最前加上代码
在php.ini中找到:
automatically add files before or after any php document.
auto_prepend_file = waf.php路径;
php文件 waf.php
<?php/*云体检通用漏洞防护补丁v1.1更新时间：2013-05-25功能说明：防护xss,sql,代码执行，文件包含等多种高危漏洞*/$url_arr=array('xss'=>"\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)",);$args_arr=array('xss'=>"[\\'\\\"\\;\\*\\<\\>].*\\bon[a-za-z]{3,15}[\\s\\r\\n\\v\\f]*\\=|\\b(?:expression)\\(|\\<script[\\s\\\\\\/]|\\<\\!\\[cdata\\[|\\b(?:eval|alert|prompt|msgbox)\\s*\\(|url\\((?:\\#|data|javascript)",'sql'=>"[^\\{\\s]{1}(\\s|\\b)+(?:select\\b|update\\b|insert(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+into\\b).+?(?:from\\b|set\\b)|[^\\{\\s]{1}(\\s|\\b)+(?:create|delete|drop|truncate|rename|desc)(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+(?:table\\b|from\\b|database\\b)|into(?:(\\/\\*.*?\\*\\/)|\\s|\\+)+(?:dump|out)file\\b|\\bsleep\\([\\s]*[\\d]+[\\s]*\\)|benchmark\\(([^\\,]*)\\,([^\\,]*)\\)|(?:declare|set|select)\\b.*@|union\\b.*(?:select|all)\\b|(?:select|update|insert|create|delete|drop|grant|truncate|rename|exec|desc|from|table|database|set|where)\\b.*(charset|ascii|bin|char|uncompress|concat|concat_ws|conv|export_set|hex|instr|left|load_file|locate|mid|sub|substring|oct|reverse|right|unhex)\\(|(?:master\\.\\.sysdatabases|msysaccessobjects|msysqueries|sysmodules|mysql\\.db|sys\\.database_name|information_schema\\.|sysobjects|sp_makewebtask|xp_cmdshell|sp_oamethod|sp_addextendedproc|sp_oacreate|xp_regread|sys\\.dbms_export_extension)",'other'=>"\\.\\.[\\\\\\/].*\\%00([^0-9a-fa-f]|$)|%00[\\'\\\"\\.]");$referer=empty($_server['http_referer']) ? array() : array($_server['http_referer']);$query_string=empty($_server["query_string"]) ? array() : array($_server["query_string"]);check_data($query_string,$url_arr);check_data($_get,$args_arr);check_data($_post,$args_arr);check_data($_cookie,$args_arr);check_data($referer,$args_arr);function w_log($log){ $logpath=$_server["document_root"]."/log.txt"; $log_f=fopen($logpath,"a+"); fputs($log_f,$log."\r\n"); fclose($log_f);}function check_data($arr,$v) { foreach($arr as $key=>$value) { if(!is_array($key)) { check($key,$v);} else { check_data($key,$v);} if(!is_array($value)) { check($value,$v);} else { check_data($value,$v);} }}function check($str,$v){ foreach($v as $key=>$value) { if (preg_match("/".$value."/is",$str)==1||preg_match("/".$value."/is",urlencode($str))==1) { //w_log("<br>ip: ".$_server["remote_addr"]."<br>时间: ".strftime("%y-%m-%d %h:%m:%s")."<br>页面:".$_server["php_self"]."<br>提交方式: ".$_server["request_method"]."<br>提交数据: ".$str); print "您的提交带有不合法参数,谢谢合作"; exit(); } }}?>
您可能感兴趣的文章:ubuntu上安装yaf扩展的方法php实例
thinkphp3.2.0 setinc方法 源码全面解析php实例
php 使用二进制保存用户状态的实例php技巧
以上就是php实现的防止跨站和xss攻击代码php技巧的详细内容。