版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明:可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。使用方法:将waf.php传到要包含的文件的目录在页面中加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码就可以做到页面防注入、跨站复制代...
分类:
其他好文 时间:
2014-11-28 15:46:06
阅读次数:
151
$value) { if (stristr($value, $StrFiltrate)) //3.保证or/Or/oR/OR之类的提交不会成功(这是个比较安全的防止SQL注入的函数,现对于strstr()函数而言) { return true; } } return false;}//合...
分类:
Web程序 时间:
2014-11-10 23:20:20
阅读次数:
246
11种绕过防注入的办法1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,...
分类:
其他好文 时间:
2014-11-09 17:50:44
阅读次数:
129
针对sql注入特征编写的sql防注入脚本visql.sh#!/bin/bashselect_union(){date=`date+%F\(%H:%M:%S\)`keyword=`grep-E‘select‘./access.log|grep-E‘union‘|awk‘{print$1}‘|sort|uniq`foriin$keyworddogrep‘\<‘$i‘\>‘ip.list&>/dev/null###白名单列表if[$?-eq0]then..
分类:
数据库 时间:
2014-10-17 18:58:25
阅读次数:
136
PDO防注入的核心:查询语句模板和参数是分两次提交到mysql,另外参数转义由mysql自身完成。PDO就是一个通用PHP数据库操作类,从php5开始提供,并从6开始成为默认的数据库操作接口;由于PDO使用预编译的形式进行操作数据库,因此只要不是底层的漏洞(php 5.3.8之前的PDO存在漏洞),...
分类:
其他好文 时间:
2014-10-16 20:37:03
阅读次数:
172
1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如o...
分类:
其他好文 时间:
2014-10-01 14:20:31
阅读次数:
183
1、易用保障:
视觉、界面简洁、DOM简洁;
2、性能保障:
访问性能优化,前端、代码、数据库;
3、安全保障:
数据安全、防注入、ip限制、日志、安全日志;
4、扩展保障:
模块化开发,高内聚低耦合、规范性、预留接口;
5、关怀保障:
温馨提醒、短信邮件、精细化营销、互动关怀;...
分类:
其他好文 时间:
2014-09-30 01:35:01
阅读次数:
196
//get拦截规则$getfilter = "\\||\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|]*?\\bon([a-...
分类:
Web程序 时间:
2014-08-10 12:53:40
阅读次数:
235
http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8ASQL攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言...
分类:
数据库 时间:
2014-08-08 15:52:56
阅读次数:
297
1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如o...
分类:
其他好文 时间:
2014-07-01 20:21:57
阅读次数:
234
