代码审计软件,网站渗透知道吧,就是这个教别人怎么玩火,怎么破解别人的网站,拿服务器权限或者注入代码。下面,小编教大家,PHP如何防止命令注入和SQL代码注入。

一、使用isset()函数

$url = isset($_GET['url']) ? $_GET['url'] : '';//用于搜索、可见的参数
$url = isset($_POST['url']) ? $_POST['url'] : '';//用于表单、隐藏的参数
$url = isset($_REQUEST['url']) ? $_REQUEST['url'] : '';//获取通过GET和POST方法传递的参数

无论是GET、POST、REQUEST传参,都使用isset()函数,判断变量是否存在,变量「存在」返回 true ,变量「不存在」返回 false 。防止注入,绝对稳得一哔。

二、去掉空格和换行

$url = str_replace(' ','', $url);//过滤空格
$url = preg_replace('/\s+/', '', $url);//过滤多余回车

再简单点就是,过滤参数的空格和回车,这样的话也能起到防代码注入。

总结:代码审计,就是一个教人玩火的软件。而且,代码审计的缺陷,就是无法绕过PHP中的isset()函数,所以,你的网站,如果有PHP传参数的,把这两点都用上就不会被刀了。

温馨提示

内容由用户共同创建和维护,并不代表站长互动论坛立场!
建议您独自对内容进行评估,核实并咨询相关的专业人士!

1 个回复 | 最后更新于 2024-02-17
一笑倾城
2024-02-17  沙发

我铐,刑啊,牢玩家!

这个工具,有点刑,慎用!

审计学得好,牢饭吃到饱!

登录后方可回帖

Loading...