项目安全简谈

最新推荐文章于 2023-05-23 11:56:24 发布
最新推荐文章于 2023-05-23 11:56:24 发布
阅读量490 收藏 1
点赞数
分类专栏: PHP Laravel 文章标签: PHP项目如何保证安全性 laravel保证项目安全性 预防SQL注入 预防XSS漏洞 预防CSRF跨站请求漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gu_wen_jie/article/details/109259013
版权
PHP 同时被 2 个专栏收录
40 篇文章 0 订阅
订阅专栏
Laravel
23 篇文章 3 订阅
订阅专栏

文章目录

前段时间接手了一个老项目的维护,发现了其中一些不规范的写法,有些已经对于整个项目的安全留下了潜在的隐患。今天就来说一下在PHP项目中几个常见的漏洞类型(以下代码演示框架为Laravel7)。

1.SQL注入漏洞

SQL注入算是一种最早就存在的,并且是非常流行的漏洞之一,危险性也同他的年龄成正比。

原理就是:将未经过滤的用户输入拼接到 SQL 语句中。

$product = DB::select("select * from products where id = '".$_GET['id']."'");

这个时候用户提交的id如果是 1 and 1 = 2,那么最终被执行的 SQL 就是:

select * from products where id = 1 and 1 = 2

很明显这个 SQL 查出来的结果必然为空,那么页面就会显示该商品不存在。
但仅仅是这样感觉好像没有什么危害,那这个时候攻击者提交的id参数变成了:

1 and exists (select * from admins where name = 'admin')

执行的 SQL 就变成了:

select * from products where id = 1 and exists (select * from admins where name = 'admin')

假如攻击者看到了正常的商品页面,那就说明这个网站存在一个名为 admin的管理员。接着请求:

1 and exists (select * from admins where name = 'admin' and len(password) = 32)

这样根据页面是否展示商品信息就能判断出 admin这个管理员在数据库中的密码是否为 32位。这样就可以一步一步来验证出管理员的密码。现在有很多自动化的 SQL注入软件,可以用很短的时间就把管理员的数据查询出来。
在 PHP 的项目里要避免 SQL 注入需要两个条件:

  • 1.使用 Prepared Statement + 参数绑定
  • 2.绝对不手动拼接 SQL
    Prepared Statement 简单来说就是把要执行的 SQL 与 SQL 里的参数分开,还是以上面的查询商品为例,Prepared Statement 就是:
select * from products where id = ?

然后再传入参数:1 and 1 = 1,这个时候数据库会严格地去查找对应 ID = 1 and 1 = 1的商品,而不是把 and 1 = 1当做查询条件,所以即使 1 = 1成立,数据库仍然返回空。

2.XSS漏洞

XSS漏洞的原理就是:

将未经过滤的用户输入原样输出到网页中

例如用户把以下内容作为收货地址提交:

<script>alert(123)</script>

而如果我们在后台原样输出这个收货地址,就会触发网页 JS 代码,弹出一个 123 的提示框。
在我们的项目中,可能会有多处用户输入会保存到数据库中,并在之后输出到了页面中,比如:

  • 用户姓名
  • 商品评价
  • 收货地址

这些字段我们并没有做任何的过滤,现在核心是看看我们是否原样输出。
在 Laravel 中要输出文本有两种方式:{{ $str }} 和 {!! $str !!},前者等同于 echo htmlspecialchars($str)而后者则是 echo $strhtmlspecialchars()函数默认会把 <>&"这个 4 个字符分别转义成 <&lgt;&",因此我们只要保证我们一直在用 {{ }}来输出就没有问题。

3.CSRF 跨站请求伪造漏洞

CSRF 漏洞的危害程度不低于 XSS,但是远没有 XSS 那样出名。
原理就是:

利用用户的身份认证信息,在用户当前已登录的 Web 应用程序上执行非用户本意的操作。

举个例子,假如 一个论坛:xxx.com,退出登录的请求方式和路由是 Get /logout,那么恶意用户只要在 某个帖子里插入一张图片,图片的 SRC 是 https://xxx.com/logout,那么任何访问这个帖子的用户都会被强制退出,因为浏览器在请求这个 URL 之前并不知道这个 URL 是不是一张真的图片,那么就会带着当前用户的 Cookie 用 Get 方式去请求这个退出页面,也就导致当前用户被强制退出。
那么是不是把请求方式改成 Post 就没有问题了呢?确实无法通过图片的方式来触发,但是恶意用户可以在其他站点构造一个页面,内容如下:

<form action="https://xxx.com/logout" method="post" id="form"></form>
<script>document.gentElementById('form').submit();</script>

然后恶意用户诱导正常的用户去访问这个页面(比如这个恶意用户在 LC 的头条里分享了这个页面并取了一个很有诱惑的标题《教你如何实现一个千万并发的网站》,相信会有很多人访问),那么访问了这个页面的用户就会被强制退出 LC。
如果一个银行网站的转账功能有 CSRF 漏洞,那么恶意用户就可以通过 CSRF 漏洞来盗取其他用户的资金。
根据上面所说的原理,不难发现要避免 CSRF 攻击需要两个条件:

  • 1.敏感操作不能用 Get 请求方式;
  • 2.对于非 Get 的请求方式,需要校验请求中的 token 字段,这个字段值对每个用户每次登录都是不一样的。

4.逻辑漏洞

举个例子,对于一些电商系统,最常见的逻辑漏洞是添加负数个商品到购物车,如果没有做校验,并且有余额支付的渠道,那么恶意用户就可以通过下负数个商品的订单来增加自己的余额。

上面的几个点都是常见的,但是也是容易忽略的,我们日常在做开发的时候应该牢记,并且遵守一些开发原则,来保证我们开发的项目的安全性。

millet109
关注
专栏目录
项目时需要考虑的安全性问题
ningandjin的专栏
04-16 626
在开发一个项目的时候,大家经常会忽略项目安全性问题,有很多的安全性问题其实就是一个意识的问题,解决起来并不复杂,但是因为这些疏忽,却可能会给我们的用户带来很大的风险。下面就列举一些在做项目的时候应该考虑的一些安全性问题。 [b]密码保存[/b] 保存密码的第一准则是不能明文保存密码,之前CSDN密码泄露一事还记忆犹新。通常的做法是对密码进行不可逆加密,加密时不要使用MD5或者SHA系列的...
项目安全性问题总结
cleble的专栏
07-29 802
总体原则: 先易后难,不懂就问,有问题多和标准版对比 1.      Insert / update 要用事务提交 2.      New 出来的对象不是null的 3.      尽量不要改超类 4.      包导不进去,有可能是pom文件的问题 5.      每个月取一下最新的标准版,同时若有疑问,先查看最新版的项目是怎么改的 6.      打包时,要把lib中时间更新的ja
项目安全
weixin_34362790的博客
11-20 206
1 项目安全方面,不仅仅是防止黑客攻击,一般也没有谁这么无聊,更多的是同行,同事,在公司做过项目,然后出去了,知道项目漏铜,然后搞事情 2 写代码,要能保证自己去攻击它都没有地方下手,才算合格,你能想到的漏洞,后门,别人也能想到 2018-11-27:有些校验可能永远都不会用到,但还是要做,有些漏洞必须得堵上 转载于:https://www.cnblogs.com/jianyi12/p/999...
web项目安全性
endlesslin的专栏
05-05 419
跨站脚本 你在页面输入一些alert语句,或者onchage存储到数据库时,当这些值返回到页面时,会不会触发一些javascript事件?所以这时应该对一些特殊符号进行一些转义操作,如" "或&lt;&gt;,()等。    sql注入 你在页面输入一些参数时,很可能这些值是某个sql语句的条件值,当你在后面加一些多的语句,例如:' drop table xxx;这时就有可能存...
.Net 项目安全性问题
u014252751的博客
10-12 881
http 强制转为https webconfig配置 <system.webServer> <rewrite> <rules> <clear /> <rule name="Redirect to https" stopProcessin...
简谈机械联锁安全系统的设计与应用.docx
10-14
例如,在20万吨/年高压聚乙烯装置、25万吨/年全密度聚乙烯装置以及兰州石化公司的项目中,都广泛使用了机械联锁系统,极大地提升了装置的安全性和可靠性。 总结来说,机械联锁安全系统是化工装置安全运行的关键,它...
简谈国内云计算发展
10-18
大中型企业开始采用私有云和混合云,小型企业也开始尝试公有云项目。政府在推动云计算发展中的主导作用明显,通过整合资源推动政务云、医疗云等行业的云服务落地。然而,这也带来了一些问题,如过度炒作可能导致的...
应用笔记LAT1239+简谈BlueNRG-LP和-LPS的代码空间优化
最新发布
04-19
### 应用笔记LAT1239:简谈BlueNRG-LP和-LPS的代码空间优化 #### 1. 引言 随着物联网技术的发展,越来越多的智能设备需要通过空中下载技术(Over-the-Air, OTA)进行远程升级与维护。然而,在使用BlueNRG-LP/LPS...
房地产开发流程简谈(PPT 67页).pptx
10-07
2. **编制相关报告**:在立项过程中,需要编制项目可行性研究报告、地震安全性评价报告、环境影响评价报告以及节能性评估报告,并由相关机构出具审查意见。 3. **房地产开发资质**:开发商需具备相应的开发资质,...
简谈长大区间通信解决方案.pdf
09-12
在铁路通信系统中,尤其是无线列调系统中,长区间通信问题一直是技术难题,尤其...随着铁路行业的不断发展和技术的进步,未来会有更多创新的解决方案来应对长区间通信问题,进一步提升铁路通信的安全性、可靠性和效率。
详解Java项目安全方向解决方案
左安青的博客
05-23 2439
在Java项目开发中,安全方向主要包括以下几个方面:认证、授权、加密、防火墙、日志管理、漏洞扫描和安全审计等。下面我分别对这几个方面进行详解,并提供解决方案来确保Java项目安全
工作中关于项目安全问题的处理
乔永刚的博客
01-08 798
接口增加签名验证,通常的做法是通过param排序+时间戳+secret签名验证,防止离职的开发人员进行接口攻击 mysql开启 safe-updates , 当做DML操作忘记加where条件时,mysqld服务器是不会执行操作的,防止批量误操作 小程序或者app端登录增加token过期操作,也是防止非法人员知道token后进行非法操作。 服务器禁止root用户登录,给每个人开发人员分配一个用...
JavaWeb 项目安全问题及其解决方案
sudo_Shutdown的专栏
08-01 7533
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的
Web安全开发规范手册V1.0
weixin_33804582的博客
11-21 629
一、背景 团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。 二、编码安全 2.1 输入验证 说明 检查项 概述 任何来自客户端的数据,如URL和参数、HTTP头部、 Javascript戓其他嵌入代码提交的信息...
项目-安全架构
Tech Station
06-15 2197
    网站安全至关重要,项目越大越应该注重安全问题,以下通过六个方面进行项目安全性方面的控制. 一:权限控制      1)将用户分权限,不同权限的用户具有不同的功能,不可以进行跨权限进行非正常操作。      2)将不可被直接访问的页面隐藏,使其只能通过页面内部跳转进行访问。      3)实现:对于1)可以使用安全性框架进行权限管理,例如:shiro、spring security等...
WEB项目安全性注意事项
左直拳的马桶_日用桶
04-25 1393
近期接受了一个维护项目,客户组织了一次第三方安全测试,发现了一些问题,需要整改。整改内容,操作系统、数据库、代码都有涉及。整改过程中,我们自己也深受教育。现将代码部分的整改内容及相关措施整理如下: 一、任意类型的文件上传 【高危】 【描述】 任意文件上传漏洞主要是由于程序员在开发文件上传功能时,没有考虑对文件格式后缀的合法性进行校验或只考虑在应用前端(Web浏览器端)通过javascript进行后...
项目开发中常见安全问题防范
codeSmart的博客
06-12 1016
背景 随着计算机网络技术的快速发展,Web应用技术在各个领域都得到了广泛的应用,但是由于不法分子针对Web应用程序相关安全漏洞的挖掘利用及恶意攻击手段的层出不穷,而与此同时国内Web应用开发人员水平参差不齐,很多开发人员安全意识淡薄,导致Web应用存在各种各样的安全漏洞,使得Web应用程序在给用户提供简便、快捷服务的同时,用户不得不为其自身可能存在的Web安全问题而担忧。主要针对Web项目中常见的安全问题进行深入的研究与分析,并对提出的各种安全问题给出了一些有效的解决方案。 安全常见问题及防范 1.输入检查
Java(web)项目安全漏洞及解决方式【面试+工作】
热门推荐
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
简谈 PortableRemoteObject.narrow方法
05-30
PortableRemoteObject.narrow方法是Java RMI中的一个重要方法,用于在客户端中将远程对象引用强制转换为特定的类型。该方法的签名如下: ``` public static Object narrow(Object obj, Class<?> clazz) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

millet109

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值