本文探讨了伪静态在SQL注入防御中的作用,解释了伪静态技术如何通过URL重写隐藏参数,以提高搜索引擎友好性和安全性。然而,伪静态仅是防御的一部分,不能完全防止SQL注入,还需结合其他措施。文章介绍了四个不同的PHP伪静态实现方法,并强调全面的防御策略的重要性。
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。
概述
众所周知,web安全防御一直都是web开发的一个重要的环节,而web安全攻击常用的方法一般有跨站脚本攻击(XSS),跨站请求伪造(CSRF),SQL注入,文件上传,代码执行等等,而当中最基本的可谓是SQL注入了,如果说前两者功能比较鸡肋的话,那么SQL注入会让你真正了解到web安全防御的重要性,因为SQL注入不单只暴露网站的信息和用户的信息,被入侵者恶意删除数据库信息,甚至成为入侵者的控制你服务器的一个入口,想想都觉得有特别可怕,对吧?
最近自己实习工作结束了,正好有时间研究一些关于WEB安全防御的资料,而接下来的一周,我将会写一个关于WEB安全防御的系列博客。今天第一篇是关于防御SQL注入的一种技术——伪静态。
或许有些人认为,伪静态一直以来都不是为了SEO而利用的技术吗?怎么跟SQL注入联系在一起了?解答这个问题之前,我们先一起来观察一下伪静态与非伪静态的区别吧。
- 伪静态一般URL地址格式:
1. http://test.com/php100/id/1/1
2. http://test.com/php100/id/1.html - 非伪静态一般URL地址格式:
1. http://test.com/php100/test.php?id=1
伪静态是一种URL重写的技术,从而达到隐藏传递的参数以及从而达到防止SQL注入的目的。
准备
在贴上伪静态的函数方法之前,以防PHP基础不好的同学们看懵,先让我们来认识一下函数方法当中的一些PHP函数。
str_replace(find,replace,string,count)
str_replace()函数以其他字符替换字符串中的一些字符(区分大小写)。preg_replace( patte
最低0.47元/天 解锁文章
扫一扫
8605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
