注入漏洞代码和分析
先上代码
<?php function customError($errno, $errstr, $errfile, $errline) { echo "Error number: [$errno],error on line $errline in $errfile
"; die();
} set_error_handler("customError",E_ERROR); $getfilter="'|(and|or)\\b.+?(>|||
{ $StrFiltValue=implode($StrFiltValue);
} if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))
{
slog("
操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue); print "result notice:Illegal operation!"; exit();
}
} foreach($_GET as $key=>$value)
{
StopAttack($key,$value,$getfilter);
} foreach($_POST as $key=>$value)
{
StopAttack($key,$value,$postfilter);
} foreach($_COOKIE as $key=>$value)
{
StopAttack($key,$value,$cookiefilter);
} function slog($logs) { $toppath="log.htm"; $Ts=fopen($toppath,"a+"); fputs($Ts,$logs."\r\n"); fclose($Ts);
} ?>
sql
分析
如果使用这个函数的话,这个函数会绕开PHP的标准出错处理,所以说得自己定义报错处理程序(die())。
其次,如果代码执行前就发生了错误,那个时候用户自定义的程序还没有执行,所以就不会用到用户自己写的报错处理程序。
那么,PHP里有一套错误处理机制,可以使用set_error_handler()接管PHP错误处理,也可以使用trigger_error()函数主动抛出一个错误。
set_error_handler()函数设置用户自定义的错误处理函数。函数用于创建运行期间的用户自己的错误处理方法。它需要先创建一个错误处理函数,然后设置错误级别。
关于的用法:
1 function customError($errno, $errstr, $errfile, $errline) 2 3 { 4 5 echo "错误代码:[${errno}] ${errstr}\r\n"; 6 7 echo " 错误所在的代码行: {$errline} 文件{$errfile}\r\n"; 8 9 echo " PHP版本 ",PHP_VERSION, "(" , PHP_OS, ")\r\n"; 10 11 // die(); 12 13 } 14 15 set_error_handler("customError",E_ALL| E_STRICT);
如果觉得《php防止注入漏洞 php防止sql注入漏洞代码》对你有帮助,请点赞、收藏,并留下你的观点哦!
