Inicio Explorar Axuda
Rexistro Iniciar sesión
gyfl
/
xyzshop
2
0
Fork 0
Ficheiros Incidencias 0 Pull Requests 0 Wiki
Árbore: ddf2b88fd6
Ramas Etiquetas
xyzshop
/
core
/
framework
/
libraries
/
security.php

security.php 3.0 KB
Histórico Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114 
  1. <?php
    2. 

  2. /**
    3. 

  3.  * 安全防范
    4. 

  4.  * 进行sql注入过滤,xss过滤和csrf过滤
    5. 

  5.  * 
    6. 

  6.  * 令牌调用方式
    7. 

  7.  * 输出:直接在模板上调用getToken
    8. 

  8.  * 验证:在验证位置调用checkToken
    9. 

  9.  *
    10. 

  10.  * @package    
    11. 

  11.  */
    12. 

  12. defined('InShopNC') or exit('Access Invalid!');
    13. 

  13. 

  14. class Security
    15. 

  15. {
    16. 

  16. 	/**
    17. 

  17. 	 * 取得令牌内容
    18. 

  18. 	 * 自动输出html 隐藏域
    19. 

  19. 	 *
    20. 

  20. 	 * @param 
    21. 

  21. 	 * @return void 字符串形式的返回结果
    22. 

  22. 	 */
    23. 

  23. 	public static function getToken(){
    24. 

  24. 		$token = encrypt(TIMESTAMP,md5(MD5_KEY));
    25. 

  25. 		echo "<input type='hidden' name='formhash' value='". $token ."' />";
    26. 

  26. 	}
    27. 

  27. 	public static function getTokenValue(){
    28. 

  28.         return encrypt(TIMESTAMP,md5(MD5_KEY));
    29. 

  29. 	}
    30. 

  30. 

  31. 	/**
    32. 

  32. 	 * 判断令牌是否正确
    33. 

  33. 	 * 
    34. 

  34. 	 * @param 
    35. 

  35. 	 * @return bool 布尔类型的返回结果
    36. 

  36. 	 */
    37. 

  37. 	public static function checkToken(){
    38. 

  38. 		$data = decrypt($_POST['formhash'],md5(MD5_KEY));
    39. 

  39. 		return $data && (TIMESTAMP - $data < 5400);
    40. 

  40. 	}
    41. 

  41. 

  42. 	/**
    43. 

  43. 	 * 将字符 & " < > 替换
    44. 

  44. 	 *
    45. 

  45. 	 * @param unknown_type $string
    46. 

  46. 	 * @return unknown
    47. 

  47. 	 */
    48. 

  48. 	public static function fliterHtmlSpecialChars($string) {
    49. 

  49. 		$string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4})|[a-zA-Z][a-z0-9]{2,5});)/', '&\\1',
    50. 

  50. 				str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string));
    51. 

  51. 		return $string;
    52. 

  52. 	}
    53. 

  53. 

  54. 	/**
    55. 

  55. 	 * 参数过滤
    56. 

  56. 	 *
    57. 

  57. 	 * @param array 参数内容
    58. 

  58. 	 * @param array $ignore 被忽略过滤的元素
    59. 

  59. 	 * @return array 数组形式的返回结果
    60. 

  60. 	 * 
    61. 

  61. 	 */
    62. 

  62. 	public static function getAddslashesForInput($array,$ignore=array()){
    63. 

  63.         if (!function_exists('htmlawed')) require(BASE_CORE_PATH.'/framework/function/htmlawed.php');
    64. 

  64. 		if (!empty($array))
    65. 

  65. 		{
    66. 

  66. 		    foreach ($array as $k => $v) {
    67. 

  67. //			while (list($k,$v) = each($array)) {
    68. 

  68. 				if (is_string($v)) {
    69. 

  69.                     if (get_magic_quotes_gpc()) {
    70. 

  70.                         $v = stripslashes($v);
    71. 

  71.                     }		
    72. 

  72. 					if($k != 'statistics_code') {
    73. 

  73. 						if (!in_array($k,$ignore)){
    74. 

  74. 							//如果不是编辑器,则转义< > & "
    75. 

  75.                             $v = self::fliterHtmlSpecialChars($v);
    76. 

  76.                         } else {
    77. 

  77.                             $v = htmlawed($v,array('safe'=>1));
    78. 

  78.                         }
    79. 

  79.                         if($k == 'ref_url') {
    80. 

  80.                             $v = str_replace('&amp;','&',$v);
    81. 

  81.                         }
    82. 

  82. 					}
    83. 

  83. 					$array[$k] = addslashes(trim($v));
    84. 

  84. 				} else if (is_array($v))  {
    85. 

  85. 					if($k == 'statistics_code') {
    86. 

  86. 						$array[$k] = $v;
    87. 

  87. 					} else {
    88. 

  88. 						$array[$k] = self::getAddslashesForInput($v);
    89. 

  89. 					}
    90. 

  90. 				}
    91. 

  91. 			}
    92. 

  92. 			return $array;
    93. 

  93. 		}else {
    94. 

  94. 			return false;
    95. 

  95. 		}
    96. 

  96. 	}
    97. 

  97. 	public static function getAddSlashes($array){
    98. 

  98. 		if (!empty($array)){
    99. 

  99. //			while (list($k,$v) = each($array)) {
    100. 

  100. 			foreach ($array as $k => $v) {
    101. 

  101. 				if (is_string($v)) {
    102. 

  102. 					if (!get_magic_quotes_gpc()) {
    103. 

  103. 						$v = addslashes($v);
    104. 

  104. 					}
    105. 

  105. 				} else if (is_array($v))  {
    106. 

  106. 					$array[$k] = self::getAddSlashes($v);
    107. 

  107. 				}
    108. 

  108. 			}
    109. 

  109. 			return $array;
    110. 

  110. 		}else {
    111. 

  111. 			return false;
    112. 

  112. 		}
    113. 

  113. 	}
    114. 

  114. }
    115.