常见的web异常错误

最新推荐文章于 2022-09-22 09:03:15 发布
最新推荐文章于 2022-09-22 09:03:15 发布
阅读量1.6k 收藏
点赞数
分类专栏: Yii 文章标签: 异常 web 应用 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rodgexue/article/details/72542205
版权

基本准则
无论是开发何种应用程序,我们都有两条基本的安全准则:

过滤输入
转义输出
过滤输入
过滤输入的意思是,用户输入不应该认为是安全的,你需要总是验证你获得的输入值是在允许范围内。 比如,我们假设 sorting 只能指定为 title, created_at 和 status 三个值,然后,这个值是由用户输入提供的, 那么,最好在我们接收参数的时候,检查一下这个值是否是指定的范围。 对于基本的 PHP 而言,上述做法类似如下:

$sortBy = $_GET['sort'];
if (!in_array($sortBy, ['title', 'created_at', 'status'])) {
    throw new Exception('Invalid sort value.');
}

在 Yii 中,很大可能性,你会使用 表单校验器 来执行类似的检查。

转义输出
转义输出的意思是,根据我们使用数据的上下文环境,数据需要被转义。比如:在 HTML 上下文, 你需要转义 <,> 之类的特殊字符。在 JavaScript 或者 SQL 中,也有其他的特殊含义的字符串需要被转义。 由于手动的给所用的输出转义容易出错, Yii 提供了大量的工具来在不同的上下文执行转义。

避免 SQL 注入
SQL 注入发生在查询语句是由连接未转义的字符串生成的场景,比如:

$username = $_GET['username'];
$sql = "SELECT * FROM user WHERE username = '$username'";

除了提供正确的用户名外,攻击者可以给你的应用程序输入类似 ‘; DROP TABLE user; –` 的语句。 这将会导致生成如下的 SQL :

SELECT * FROM user WHERE username = ''; DROP TABLE user; --'

这是一个合法的查询语句,并将会执行以空的用户名搜索用户操作,然后,删除 user 表。 这极有可能导致网站出差,数据丢失。(你是否进行了规律的数据备份?)

在 Yii 中,大部分的数据查询是通过 Active Record 进行的, 而其是完全使用 PDO 预处理语句执行 SQL 查询的。在预处理语句中,上述示例中,构造 SQL 查询的场景是不可能发生的。

有时,你仍需要使用 raw queries 或者 query builder。 在这种情况下,你应该使用安全的方式传递参数。如果数据是提供给表列的值,最好使用预处理语句:

// query builder
$userIDs = (new Query())
    ->select('id')
    ->from('user')
    ->where('status=:status', [':status' => $status])
    ->all();

// DAO
$userIDs = $connection
    ->createCommand('SELECT id FROM user where status=:status')
    ->bindValues([':status' => $status])
    ->queryColumn();

如果数据是用于指定列的名字,或者表的名字,最好的方式是只允许预定义的枚举值。

function actionList($orderBy = null)
{
    if (!in_array($orderBy, ['name', 'status'])) {
        throw new BadRequestHttpException('Only name and status are allowed to order by.')
    }

    // ...
}

如果上述方法不行,表名或者列名应该被转义。 Yii 针对这种转义提供了一个特殊的语法, 这样可以在所有支持的数据库都使用一套方案。

$sql = "SELECT COUNT([[$column]]) FROM {{table}}";
$rowCount = $connection->createCommand($sql)->queryScalar();

你可以在 Quoting Table and Column Names 中获取更多的语法细节。

防止 XSS 攻击
XSS 或者跨站脚本发生在输出 HTML 到浏览器时,输出内容没有正确的转义。 例如,如果用户可以输入其名称,那么他输入 <script>alert('Hello!');</script> 而非其名字 Alexander, 所有输出没有转义直接输出用户名的页面都会执行 JavaScript 代码 alert(‘Hello!’);, 这会导致浏览器页面上出现一个警告弹出框。就具体的站点而言,除了这种无意义的警告输出外, 这样的脚本可以以你的名义发送一些消息到后台,甚至执行一些银行交易行为。

避免 XSS 攻击在 Yii 中非常简单,有如下两种一般情况:

你希望数据以纯文本输出。
你希望数据以 HTML 形式输出。
如果你需要的是纯文本,你可以如下简单的转义:

<?= \yii\helpers\Html::encode($username) ?>

如果是 HTML ,我们可以用 HtmlPurifier 帮助类来执行:

<?= \yii\helpers\HtmlPurifier::process($description) ?>

注意: HtmlPurifier 帮助类的处理过程较为费时,建议增加缓存:

防止 CSRF 攻击
CSRF 是跨站请求伪造的缩写。这个攻击思想源自许多应用程序假设来自用户的浏览器请求是由用户自己产生的, 而事实并非如此。

比如说:an.example.com 站点有一个 /logout URL,当以 GET 请求访问时, 登出用户。如果它是由用户自己操作的,那么一切都没有问题。但是, 有一天坏人在一个用户经常访问的论坛发了一个 <img src="http://an.example.com/logout"> 内容的帖子。 浏览器无法辨别请求一个图片还是一个页面,所以,当用户打开含有上述标签的页面时,他将会从 an.example.com 登出。

上面就是最原始的思想。有人可能会说,登出用户也不是什么严重问题,然而,我们发送一些 POST 数据其实也不是很麻烦的事情。

为了避免 CSRF 攻击,你总是需要:

遵循 HTTP 准则,比如 GET 不应该改变应用的状态。
保证 Yii CSRF 保护开启。

Sometimes you need to disable CSRF validation per controller and/or action. It could be achieved by setting its property:

namespace app\controllers;

use yii\web\Controller;

class SiteController extends Controller
{
    public $enableCsrfValidation = false;

    public function actionIndex()
    {
        // CSRF validation will not be applied to this and other actions
    }

}
To disable CSRF validation per custom actions you can do:

namespace app\controllers;

use yii\web\Controller;

class SiteController extends Controller
{
    public function beforeAction($action)
    {
        // ...set `$this->enableCsrfValidation` here based on some conditions...
        // call parent method that will check CSRF if such property is true.
        return parent::beforeAction($action);
    }
}

防止文件暴露
默认的服务器 webroot 目录指向包含有 index.php 的 web 目录。在共享托管环境下,这样是不可能的, 这样导致了所有的代码,配置,日志都在webroot目录。

如果是这样,别忘了拒绝除了 web 目录以外的目录的访问权限。 如果没法这样做,考虑将你的应用程序托管在其他地方。

在生产环境关闭调试信息和工具
在调试模式下, Yii 展示了大量的错误信息,这样是对开发有用的。 同样,这些调试信息对于攻击者而言也是方便其用于破解数据结构,配置值,以及你的部分代码。 永远不要在生产模式下将你的 index.php 中的 YII_DEBUG 设置为 true。

你同样也不应该在生产模式下开启 Gii。它可以被用于获取数据结构信息, 代码,以及简单的用 Gii 生成的代码覆盖你的代码。

调试工具栏同样也应该避免在生产环境出现,除非非常有必要。它将会暴露所有的应用和配置的详情信息。 如果你确定需要,反复确认其访问权限限定在你自己的 IP。

Using secure connection over TLS
Yii provides features that rely on cookies and/or PHP sessions. These can be vulnerable in case your connection is compromised. The risk is reduced if the app uses secure connection via TLS.

Please refer to your webserver documentation for instructions on how to configure it. You may also check example configs provided by H5BP project:

Rodgexue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
识别电子发票、处理pdf文件及二维码识别
08-08
通过将电子发票pdf文件中的信息及二维码摘录出来并进行识别,获得发票信息,期间用到zxing和spirePdf
证件识别/证件识别SDK
weixin_43677426的博客
12-18 468
一、证件识别/证件OCR介绍 移动端证件识是开发的基于移动平台的证件识别/证件OCR应用程序,支持Android、iOS等多种主流移动操作系统。该产品采用手机、平板电脑摄像头拍摄证件图像,然后通过OCR软件对证件信息进行识别提取。企业可将该识别服务部署在自有服务器上(云服务器或本地服务器),部署完成后,APP端、PC客户端、web端、微信H5端等均可发送识别请求,通过Web Service接口调用...
php开发电子发票接口,EasyAPI发票管理加油站电子发票解决方案
weixin_30616635的博客
03-18 1366
原标题:EasyAPI发票管理加油站电子发票解决方案时代抛弃你时,连一声再见都不会说。这不,前一秒是还纸质发票,这一秒各行各业就都推行了电子发票。不得不感叹:时代改变真快!当然,电子发票会更方便、更快捷、扫码即得!一劳永逸!我们一定要跟得上时代,不能落伍哟!电子发票接入一点都不难,只需三步,轻松对接。1、 调用 “获取accessToken” API接口 appKey和appSecret登录Eas...
AI发票扫描识别sdk软件接口
weixin18701137547的博客
11-13 1475
关键词:发票扫描识别 发票ocr识别 增票识别 发票识别录入 发票识别接口 AI发票扫描识别sdk软件接口 一、AI发票扫描识别sdk软件接口应用背景 对于一些大型集团公司来讲,目前主要采用的依旧是分散式财务管理模式,而这就造成了企业财务管理效率不高,管理成本高等问题,同时也制约了集团企业发展战略的进行,所以需要建设FSSC财务共享中心。 而一个企业想建造FSSC财务共享中心,所面临的一大难...
如何在windows中配置自动生成崩溃文件(.dmp)
shaosheng2008的专栏
09-09 1586
如何在windows中配置自动生成崩溃文件(.dmp)
java web exception_java web 异常实践
weixin_42502089的博客
02-16 414
异常实践前言本文是我在项目中设计和处理异常的一些实践,主要是围绕着常见web项目,欢迎大家指正。本文分为两个个部分异常设计异常处理异常设计通常考虑异常设计时大致分为三个部分接口层业务层类库接口层就是我们通常说的 controller 层,以及提供 rpc 服务的接口层。业务层就是主要的业务代码模块,主要是 service 层。类库主要是指一些公共模块,可以在各个项目中使用的,比如 json,分布...
JAVA Web开发过程中遇见的各种Exception 总结(待续)
望月思灵
06-14 734
1、org.hibernate.PropertyAccessException: IllegalArgumentException occurred while calling setter of 原因:对应bean中set方法数据类型和hibernate配置文件中定义的类型是否一致。 2、This is usually caused by using Struts tags witho
[windows]可执行程序异常时生成dmp文件的配置和调试方法
03-01 3041
正常情况下,可执行程序异常退出后不会生成dmp文件,这给定位分析问题原因带来了极大的困难。通过修改注册表我们可以让程序生成dmp文件,配合windbg工具的使用,可以方便的帮助定位异常问题原因。 1. 注册表修改操作 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting 1.1 创建LocalDumps注册表项 ...
Web常见错误代码
shall潇の菜园
03-04 622
Web常见错误代码 404表示文件或资源未找到 1、1xx-信息提示:这些状态代码表示临时的响应。客户端在收到常规响应之前,应准备接收一个或多个1xx响应。 100-继续。 101-切换协议。 2、2xx-成功:这类状态代码表明服务器成功地接受了客户端请求。 200-确定。客户端请求已成功。 201-已创建。 202-已接受。 203-非权威性信息。 204-无内容。 205-重置内容。 206-部分内容。 3、3xx-重定向:客户端浏览器必须采取更多操作来实现请求。例如,浏览器可能不得不请求服务器上的不同
WEB请求常见错误代码:400、403、404、405
09-22 4589
状态码203 (SC_NON_AUTHORITATIVE_INFORMATION)是表示文档被正常的返回,但是由于正在使用的是文档副本所以某些响应头信息可能不正确。服务器理解了客户的请求,但拒绝处理它,通常是由于服务器上文件或目录的权限设置导致的WEB访问错误。505 (SC_HTTP_VERSION_NOT_SUPPORTED)状态码是说服务器并不支持在请求中所标明 HTTP 版本。该状态是新加入 HTTP 1.1的。一般是因为我们输入的语法格式有错误,服务器无法理解用户的请求,不知道要表达的是什么。
Web开发异常行为排查常用方法图文介绍
01-01
异常出现 平常程序遇到错误,开发环境下一般都用调试搞定,生产环境下通过查看日志搞定。但也有搞不定的时候,这是我在Silverlight开发时遇到的的错误: 如果启用调试,”对不起,程序已经崩溃,无法附加到进程”。...
Spring Boot中Web应用的统一异常处理
05-09
我们在做Web应用的时候,请求处理过程中发生错误是非常常见的情况。
Java Web应用常见错误异常问题处理.zip
10-16
Java Web应用常见错误异常问题处理
Java Web应用常见错误异常问题处理.pdf
07-02
Java Web应用常见错误异常问题处理.pdf
php面试题3-yii2和yii的不一样的地方
Rodgexue的专栏
04-17 8410
1.在Yii 2.0中已经使用Comsoper来管理各种依赖关系,你在安装的时候完全可以用composer来进行安装 2.在Yii 2.0中还增加了一个安全事件用来把控应用安全,你可以像下面的示例一样轻松使用: Yii::$app-&gt;security-&gt;encrypt() 3.事务管理 对于事物管理,最大的变化就是你可以在事物中使用回调函数了: $connection-...
php删除指定目录下的的文件/文件夹-用PHP怎么删除某目录下指定的一个文件/文件夹?
Rodgexue的专栏
12-04 6896
<?php $dir = '你要删除的目录路径'; //如下: //$dir = $_SERVER['DOCUMENT_ROOT'].'/cache'; rmdirs($dir); //php删除指定目录下的的文件-用PHP怎么删除某目录下指定的一个文件? function rmdirs($dir){ //error_reporting(0
Yii2 官方文档阅读笔记
Rodgexue的专栏
05-19 6199
1.抛出异常, 貌似不用加上try catchuse yii\web\NotFoundHttpException; $model = Post::findOne($id); if ($model === null) { throw new NotFoundHttpException; }2.加载post过来的参数然后保存if ($model->load(Yii::$app->reques
yii2 debug 功能
Rodgexue的专栏
09-05 5980
这里采用的是yii2的advanced的版本。配置接口访问的debug模式。 配置文件目录: frontend/config/main-local.php 配置内容: if (!YII_ENV_TEST) { // configuration adjustments for 'dev' environment $config['bootstrap'][] = 'debug...
使用纯php建立MVC框架,仿照Thinkphp的目录结构
Rodgexue的专栏
12-04 5977
其实我又在想,MVC是什么东西,为什么要采用MVC,它能干啥?分层的好处是什么?什么叫敏捷开发?如何有效的扩展,框架?Thinkphp for mvc ######################我有很多的疑问如果实现亿万数据查询?如何提高访问速度?SEO优化如果提高性能?################这些问题困扰着我?希望可以得到高手的指点,一起学习!我的QQ是:1598135958 好了,由于
Java web异常机制
最新发布
05-24
Java Web 异常机制主要是通过抛出异常并且捕获异常来处理程序错误,保证程序的稳定性和可靠性。 在 Java Web 应用程序中,常见异常类型包括: 1. Checked Exception(可检查异常):这种异常类型需要在代码中进行处理,否则会导致编译错误。例如,FileNotFoundException 和 IOException 等。 2. Unchecked Exception(不可检查异常):这种异常类型不需要在代码中进行处理,程序运行时会自动抛出。例如,NullPointerException 和 ArrayIndexOutOfBoundsException 等。 3. Error(错误):这种异常类型代表了系统级别的错误,通常是由于底层系统出现问题而导致的,例如,OutOfMemoryError 和 StackOverflowError 等。 在 Java Web 应用程序中,异常可以通过 try-catch-finally 语句块来处理。try 块中包含可能会引发异常的代码,catch 块用于捕获并处理异常,finally 块用于释放资源。 例如: ``` try { // 可能会引发异常的代码 } catch (Exception e) { // 处理异常 } finally { // 释放资源 } ``` 除了 try-catch-finally 语句块之外,还可以使用 throws 关键字将异常抛给上层调用者处理,或者使用 throw 关键字手动抛出异常。 例如: ``` public void readFile(String fileName) throws IOException { // 可能会引发 IOException 异常的代码 } ``` 在 Java Web 应用程序中,通过合理地使用异常机制,可以有效地提高程序的健壮性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值