方法一:密码比对
思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。
代码:
代码如下 | 复制代码 |
$sql="select password from users where username='$name'"; $res=mysql_query($sql,$conn); if ($arr=mysql_fetch_assoc($res)){//如果用户名存在 if ($arr['password']==$pwd) {//密码比对 echo "登录成功"; }else{ echo "密码输入有误"; } }else { echo "该用户名不存在"; } |
分析:该情况下,代码健壮了不少,即使在magic_quote_gpc=Off的情况下,也能防止SQL注入攻击。因为攻击者想成功登录的话,得绕过两道坎,第一是输入的用户名要存在,这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过,但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过,显然,这已经拒绝了SQL注入攻击。
方法二:使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击
思路:创建一个pdo对象,利用pdo的预处理操作可以防止SQL注入攻击
代码:
代码如下 | 复制代码 |
$name=$_GET['username']; $pwd=$_GET['password']; $sql="select * from users where username=? and password=?"; //1.创建一个pdo对象 $pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root",""); //2.设置编码 $pdo->exec("set names 'utf8'"); //3.预处理$sql语句 $pdoStatement=$pdo->prepare($sql); //4.把接收到的用户名和密码填入 $pdoStatement->execute(array($name,$pwd)); //5.取出结果 $res=$pdoStatement->fetch(); if(empty($res)){ echo "用户名或密码输入有误"; }else{ echo "登录成功"; } |
base64_decode
将 BASE64 编码字符串解码。
语法: string base64_decode(string encoded_data);
返回值: 字符串
函数种类: 编码处理
内容说明
本函数将以 MIME BASE64 编码字符串解码。解码后的字符串可能为中文字符串或其它的二进位资料。
例
代码如下 | 复制代码 |
<?php $str = 'VGhpcyBpcyBhbiBlbmNvZGVkIHN0cmluZw=='; echo base64_decode($str); ?> |
str urlencode($string)
此功能是方便的编码字符串时要在URL的查询的一部分用来作为一种方便的方法传递变量到下一页。
我写了这个简单的函数,创建一个GET查询的网址()从一个数组:
代码如下 | 复制代码 |
<?php $query_string = 'foo=' . urlencode($foo) . '&bar=' . urlencode($bar); echo '<a href="mycgi?' . htmlentities($query_string) . '">'; ?> |
看一个两个综合的函数
代码如下 | 复制代码 |
<?php $encryption = "username"; echo base64_encode ($encryption);//echo "dXNlcm5hbWU= "; echo "<br>"; echo urlencode("http://".$encryption);//echo " http%3A%2F%2Fusername "; echo "<br>"; echo sha1($encryption);//echo "249ba36000029bbe97499c03db5a9001f6b734ec" echo "<br>"; ?> |
一、【php对外发包问题】
客户说自己的vps对外发包严重,我司机房人员查看监控,截图如下:
在这样下去客户的机器肯定会造成ping值不稳定,甚至服务器崩溃。
二、【分析问题】
经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数。强烈建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客、Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数,发包程序彻底失效,极大的增强了服务器的安全级别。
1. 关闭这个函数的流程,编辑php.ini文件搜索这个文件中的“disable_functions =”,如果这行前面有;符号的就删除这个符号,然后把这行修改为:
--------------------------------------------------------------------------------
disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen
--------------------------------------------------------------------------------
修改完成后保存退出,并重启 IIS或apache服务即可生效 。
2. 如果您的服务器上有DedeCMS程序,请特别注意检查:
--------------------------------------------------------------------------------
/plus/config_s.php
/plus/index.php
/data/cache/t.php
/data/cache/x.php
--------------------------------------------------------------------------------
这些一般是木马程序,要及时删除!
3. 请下载udpdeny.rar,使用ip策略来阻止服务器对外发包;
4. 在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包。下载这个包,之后导入安全策略。但这个策略并没有关闭DNS端口,部分攻击还是有效. 为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址 "特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8" 保存后就行了 )
开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。
虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。
前面已经提到过,开启magic_quote_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。
实例演示:
假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quote_gpc启用。
SQL语句:
代码如下 | 复制代码 |
$sql="select * from users where username=$name and password='$pwd'"; |
注意:变量$name没加引号
此时,在地址栏中输入username=admin%23,则合成后的sql语句为:
代码如下 | 复制代码 |
select * from users where username='admin' #' and password=''; |
这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。
admin转换成ASCII后是char(97,100,109,105,110)
此时在地址栏中输入
代码如下 | 复制代码 |
username=char(97,100,109,105,110)%23 |
SQL语句就变成了:
代码如下 | 复制代码 |
select * from users where username=char(97,100,109,105,110)#' and password=''; |
执行结果为真,就可以顺利进入后台。
对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。
比如:
代码如下 | 复制代码 |
$id=intval($_GET[‘id’]); select * from articles where id=’$id’; |
地址栏中输入:
代码如下 | 复制代码 |
id=5’ or 1=1%23 |
SQL语句将变成:
代码如下 | 复制代码 |
select * from articles where id=’5’; 而不是select * from articles where id=’5’ or 1=1#; |
总结:
对于每一个变量都记得加上单引号,比如where username=’$name’,
开启magic_quote_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
自己的机器出这种情况有很多了,下面看我一步步的解决办法吧。
一,把服务器上的udp商品全部关闭
二,那就是检测服务器是不是网站中毒了,经过分析是我的一个企业网站用的dedecms被人给上了phpddos了,这样原因找到了就好办了,
三,删除phpddos文件,把网站安全做好就行了。
经验:
后来把phpddos代码下载来看了一下,它的核心代码用上了fsockopen(),如果你的服务器没用这个php函数,可以直接禁止,这样phpddos也没有办法了,
本站原创教程转载注明:http://www.111cn.net/phper/php.html