【发布时间】:2014-12-05 23:36:31
【问题描述】:
好吧,我有一个大问题:整天有人在我的 index.php 中插入 HTML 代码,我不知道如何,这是插入的代码:
<iframe src=**bad url was here** width=0 height=0 frameborder=0></iframe>
我已经尝试过这个来防止这个问题:
$_GET = Sanitize::filter($_GET);
$_POST = Sanitize::filter($_POST)
我的 Sanitize 类过滤了 $_gET 和 $_POST 中的所有内容,但问题仍然存在。
这是我的清理文件:
abstract class Sanitize {
/**
* Filter
*
* @param mixed $value
* @param array $modes
* @return mixed
* @static
* @since 1.0
*/
static public function filter($value, $modes = array('sql', 'html')) {
if (!is_array($modes)) {
$modes = array($modes);
}
if (is_string($value)) {
foreach ($modes as $type) {
$value = self::_doFilter($value, $type);
}
return $value;
}
foreach ($value as $key => $toSanatize) {
if (is_array($toSanatize)) {
$value[$key]= self::filter($toSanatize, $modes);
} else {
foreach ($modes as $type) {
$value[$key] = self::_doFilter($toSanatize, $type);
}
}
}
return $value;
}
/**
* DoFilter
*
* @param mixed $value
* @param array $modes
* @return mixed
* @static
* @since 1.0
*/
static protected function _doFilter($value, $mode) {
switch ($mode) {
case 'html':
$value = strip_tags($value);
$value = addslashes($value);
$value = htmlspecialchars($value);
break;
case 'sql':
$value = preg_replace(sql_regcase('/(from|select|insert|delete|where|drop table|show tables|#|\*| |\\\\)/'),'',$value);
$value = trim($value);
break;
}
return $value;
}
}
还有一些文件被插入到我的 public_html 文件夹中,我不知道如何。
【问题讨论】:
-
我认为人们需要更多细节。即用于连接和发布的整个 PHP 脚本。与 html、javascript 一起。研究使用准备好的语句或 PDO 进行查询。
-
Sanitize是什么,filter()有什么作用?这些不是标准的 PHP 函数。这是来自提交的数据还是他们将其嵌入到您的文件中? -
检查您的系统是否有病毒。更改您的密码。将您的 index.php 设置为只读。您的根文件夹中是否有任何新的/奇怪的文件?
-
我假设您正在使用数据库来存储您在某处使用 收集的用户数据(查看 SO 如何在没有注入的情况下输出标签)。即使您要求输入用户名,用户也可以输入您将存储在数据库中的标记。您没有做的是在从数据库中读取它之后并在输出它之前对其进行转义。看看PHP htmlentities 和PHP htmlspecialchars
-
所有浏览器都会出现这种情况吗?有可能您的 PC 被感染了,并且您的浏览器中有一个插入代码的插件。
标签: php html code-injection