我正在尝试编写“如果(查询包含任何常见的攻击术语,超过 80 个字符等){执行函数}”
我知道 preg_replace 允许字符,但是否有一个函数来禁止设置字符串或如何构建类似的东西:
if(isset( contains['DROP, OR, 1-1, etc]) ) {
$message = $_SERVER["REMOTE_ADDR"];
$message = $_SERVER[""];
mail('admins@website.com', 'Shady Query Going on', $message);
}
我知道各种插件会发送多次登录尝试和锁定等警告。我希望对 SQLi 尝试做同样的事情
更新:事实证明,这实际上是一个有用的插件 -当登录错误和其他可疑业务继续时,Better WP Security会向您发送电子邮件。也没有人回答我的问题,似乎是一群精英咆哮......感谢@Rook和@Thawab tho!
我建议在您的脚本中使用http://phpids.org/,因为它可以检测到更多攻击。
如果您正确保护您的站点免受 SQL 注入,您绝对不需要这个。但是,要实现它...
function checkForBlacklistedTerms($string)
{
$blacklisted = array('DROP', '--', 'KILL', 'BLAH', 'BLIH');
foreach($blacklisted as $bl) {
if( strpos($string, $bl) !== FALSE ) {
return true;
}
}
return false;
}
if( checkForBlacklistedTerms($searchquery) || strlen($searchquery) > 80 )
{
// warning code goes here
}