php安全

最新推荐文章于 2022-04-11 22:36:01 发布
最新推荐文章于 2022-04-11 22:36:01 发布
阅读量1k 收藏
点赞数
分类专栏: linux安全 文章标签: php header sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinalinuxzend/article/details/1453701
版权

    1,php.ini     错误日志

      关闭display_errors,避免把出错信息泄露,而我们可以通过error log获取出错信息

       设置error_reporting  =  E_ALL
         display_errors = On             //上线后改为Off
         log_errors = On                 //开发时或可关闭
         error_log = "/usr/local/apache2/logs/php_error.log"         //此文件需事先创建

    2,php.ini     防止SQL注入
       确保
       magic_quotes_gpc = On
       它为接收到的变量添加addslashes()操作

     3,php.ini   关闭全局变量
       确保
         register_globals = Off

     4, php.ini   关闭不使用的函数
       disable_functions =phpinfo,get_cfg_var         //上线后再启用 

    5,使php不显示x-powered-by中的php信息
        在php程序开始处添加
        header('x-powered-by: coollang/1.0');

 

chinalinuxzend
关注
专栏目录
2021-09-13 网安实验-PHP安全特性(变量覆盖漏洞)
时光隧道
09-13 4万+
全局变量覆盖 在register_globals=On的情况下,变量的来源可能是各个不同的地方,比如页面的表单、Cookie等。针对于我们本次实验的代码(register_globals.php),我们可以通过下面这种方式进行变量覆盖: 可见,我们的代码中并没有接收变量a并对其赋值的操作,但是我们通过GET方式直接传参之后,我们的代码中就有了$a这个变量,且可以直接调用。那么想像一下,这样一来,如果你知道目标网站中某个变量的名称,是不是就可以这样来修改该变量的值,从而影响代码的运算。 extract()
2021-09-13 网安实验-PHP安全特性(伪协议)
热门推荐
时光隧道
09-02 4万+
一:PHP支持的协议 二:协议的使用 file协议:读取file:///etc/passwd,如下图: 如果需要读取php这种代码文件直接访问是不行需要进行编码后才行 1. php://stdin, php://stdout 和 php://stderr 2. php://input 3. php://output 4. php://fd 5. php://memory 和 php://temp 6. php://filter 以php://filter使用介绍 ...
PHP安全 [安全编码]
weixin_45253622的博客
05-26 7808
总则: 绝对安全的系统是不存在的。最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。 木桶原理,一个系统的的强度是由它最薄弱的环节决定的。 安全编码细则: 所有输入的数据都是有害的(直接或者间接由用户输入的) 不依赖运行环境的安全配置 安全控制措施落实在最后执行阶段 最小化 失败终止 文件系统安全 源码: <?php //从用户目录中删除指定的文件 $username = $_POST['user_submitted_name']; $us.
常见的PHP安全防范
阳水平的博客
05-23 3668
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
PHP的一些安全设置
pipujopijhpo的博客
05-13 152
由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。 1.屏蔽PHP错误输出。 在/etc/php.ini(默认配置文件位置),将如下配置值改为Off display_errors=Off 不要将错误堆栈信息直接输出到网页上,防止黑客加以利用相关信息。 正确的做法是: 把错误日志写到日志文件中,方便排查问题。 2.屏蔽PHP版本。 默认情况下PHP版本会被显示在返回头里,如: Response Headers X-powered-by: PHP/7.2.0
PHP漏洞全解(一)-PHP网站的安全性问题
qq122219685的专栏
05-18 689
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、S
php安全新闻早八点-高级持续渗透-第二季关于后门补充一
Micropoor
12-25 3005
文章转载于:https://micropoor.blogspot.hk/2017/12/php_24.html 这次继续围绕第一篇,第一季关于后门:https://micropoor.blogspot.hk/2017/12/php.html 做整理与补充。在深入一步细化demo notepad++。 后门是渗透测试的分水岭,它分别体现了攻击者对目标机器的熟知程度,环境,编程语言,了
php安全】eval的禁止【原创】
一直加班的程序猿
05-12 1万+
前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少: 然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。 本地测试一下,在本地环境写一个php,内容如下: default.php: 然后访问一下:localhost/test/default.php?asda=phpinfo(); 就
运维安全·Web组件安全·PHP
不忘初心,护天下安全!
04-11 1603
一、PHP PHPPHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法学习了C语言,吸纳Java和Perl多个语言的特色发展出自己的特色语法,并根据它们的长项持续改进提升自己,例如java的面向对象编程,该语言当初创建的主要目标是让开发人员快速编写出优质的web网站。PHP同时支持面向对象和面向过程的开发,使用上非常灵活。 二、安全配置 以PHP 7.4w为例,介绍一下PHP常见的安全配置(以下设置均在
如何在防火墙中放开ping
最实用的Linux博客
10-31 7105
如何在防火墙中放开ping操作时需要注意的几项:1,注意iptables各版本间的区别  我们的server os最旧的版本是redhat 7.3 kernel是2.4.20-18.7  最新的server os最新的版本是centos 5, kernel是2.6.18-8  差距很大  iptables以模块形式运行在内核的空间,用lsmod可以看到  所以它与内核的版本息息相关
iptables技巧之优化速度
最实用的Linux博客
12-22 3193
 1,用连接状态做匹配:     -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  2,使用ip地址范围进行匹配      -A INPUT -m iprange --src-range 192.168.6.203-192.168.6.226 -d your.external.ip.address -j ACCEPT  3,有多个端口
linux密码的三种形式
最实用的Linux博客
01-09 2491
1,从何处看到linux的密码    /etc/passwd中,只显示一个x,   真正的密码放在/etc/shadow中2,密码的三种状态     长度34个字符的经过md5混编的不可逆密码     !!  :两个叹号: 表示这个帐号目前没有密码,也不能用来登录,通常为一些系统帐号     *  : 星号,使此账号无法登入3,如何临时关闭一个账号?   临时关闭(锁定)一个用户帐号,并不需要
RedHat Linux+Postfix+Cyrus-sasl+Dovecot+Stunnel收藏
最实用的Linux博客
02-13 2308
 原贴:http://blog.csdn.net/joliny/archive/2008/04/28/2340341.aspxRedHat Linux+Postfix+Cyrus-sasl+Dovecot+Stunnel收藏 新一篇: linux RedHat 9.0搭建企业邮件服务器 | 旧一篇: redhat9+postfix+cyrus-sasl+mysql+pos
iptables技巧之防止欺骗攻击
最实用的Linux博客
12-22 1370
1, 验证tcp标志位,     如下:     -A INPUT -p tcp --tcp-flags ALL NONE -j DROP-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP-A INPUT -p tcp --tcp-flags F
iptables技巧之常用命令
最实用的Linux博客
12-22 1090
 1,如何实现基于一个网段的连续的ip的验证?    因为托管机房分配给我们的IP地址通常是连续的,所以会有这个需求     需要使用iprange模块    如下:     -A INPUT -m iprange --src-range 192.168.6.106-192.168.6.129 -j ACCEPT2,备注:2.4核心的iptables不具备这个模块,怎么办?   没办法,只好自己编
sshd安全
最实用的Linux博客
12-22 958
10,sshd的安全   修改/etc/ssh/sshd_config   设置X11Forwarding no   设置Port 707
linux密码的信息
最实用的Linux博客
01-09 955
1,linux密码可以有多长?   现在的linux机器都采用md5算法,则密码可以有无限长度2,linux密码可以有多么短?   由   /etc/login.defs   中的   PASS_MIN_LEN   一项定义,   默认是53,linux密码一般多长为宜    一般请长于15个字符4,linux密码一般多长时间更换为宜?    一般以3个月长度为宜5,密码一般应该由
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值