php中安全防范1

最新推荐文章于 2024-05-16 12:30:56 发布
最新推荐文章于 2024-05-16 12:30:56 发布
阅读量430 收藏
点赞数
分类专栏: PHP 文章标签: php include session function 脚本 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackyrongvip/article/details/4608009
版权
  最近研读这方面的资料,也收集了些资料,打算每次做个笔记
1  设置“register_globals”为“off”
这个选项会禁止PHP为用户输入创建全局变量
2  设置“open_basedir”
这个选项可以禁止指定目录之外的文件操作,有效地消除了本地文件或者是远程文件被include()的攻击,但是仍需要注意文件上载和session文件的攻击。 

3  设置“display_errors”为“off”,设置“log_errors”为“on”
这个选项禁止把错误信息显示在网页中,而是记录到日志文件中,这可以有效的抵制攻击者对目标脚本中函数的探测。

4  设置“allow_url_fopen”为“off”
这个选项可以禁止远程文件功能
5   在程序中,严格控制变量参数的类型,比如对需要用数字的地方,用如intval等函数转换
6 可以用PHP自带的htmlspecialchars函数过滤掉HTML实体或者自己写过滤函数:
function dangerchr($var){
$var = str_replace("/t","",$msg);
$var = str_replace("<","&lt;",$msg);
$var = str_replace(">","&gt;",$msg);
$var = str_replace("/r","",$msg);
$var = str_replace("/n","<br />",$msg);
$var = str_replace(" "," &nbsp; ",$msg);

}
jackyrongvip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈PHP安全防护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
PHP安全防范技巧分享
10-28
里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.
PHP网站常见一些安全漏洞及防御方法_php
wangluoanquan111的博客
09-27 1008
一、常见PHP网站安全漏洞对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞。
不谈具体的代码,php站点安全防护心得
YeJinYang的博客
01-26 391
不谈具体的代码,php站点安全防护心得 首先,php本身有漏洞不在这篇文章的讨论范围之内,具体问题自行解决,这里要说的,是假如代码就是有漏洞,但是漏洞又找不到的情况下,如何去做。此文章仅针对小站点,大站点请忽略。 常见的漏洞有两个,一个是通过XSS进入了后台,一个是上传木马。 实验环境 centos7 php7.1 nginx 防御XSS: 后台一般都有个后台目录,给该目录加上目录保护(浏览器打开目录,会提示输入账号密码),这样即便被拿到了后台的cookie和地址,也进入不了。下面是通过宝塔面板的
PHP 安全防护手段
Owen的博客
08-10 301
一 代码层 1.黑名单 : 不允许 mysql 关键字:select insert update delete等..... 2.白名单 : 允许通过的字符 3.敏感字符过滤 单引号 双引号等... 3.1 HTML Purifier 作用:防止XSS攻击。 http://htmlpurifier.org/ 4.使用框架安全操作: CI的AR(Active Record)的数据库CURD方式 esca...
PHP常见漏洞的防范措施
大鹏
12-18 1951
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
基于PHP开发安全防范知识详解
10-27
本篇文章是对PHP开发安全防范知识进行了详细的分析介绍,需要的朋友参考下
php 应用程序安全防范技术研究
10-29
比特网专家特稿:关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
PHP Liunx 服务安全防范方案
10-23
我们做了很多工作,当然很多高手们还是可以入侵,这我们并不感到奇怪,因为我们相信天外有天,人外有人,虽然我们现在服务器还是稳定(高手们不要来喷了),我们把我们曾经做的一些安全操作分享给大家,包括linux...
PHP给后台管理系统加安全防护机制的一些方案
任聪聪的博客
04-22 868
本篇文章主要讲解PHP管理系统后台管理员登录心的防护方法。 适用范围:php原生、框架内部使用 很多刚学习php的小白同学不知道如何对管理系统进行安全防护机制的功能开发,故此书写这个实例教程文章。 方案一、通过在登录界面增加URL的加密参数进行判断 【能避免暴力破解、相对轻便简单】 配置参数说明: 后台系统设置界面、或者数据库存储、再或者将加密参数存储在redis缓存都可。 主要思路: 保存一个明文或者密文在指定的位置,登录界面访问时进行加密参数的匹配,成功者显示界面,不成功则不显示。 代码实例: .
php需要做的安全防护
空白_回忆的博客
07-13 860
php需要做的安全防护 XSS安全防护 表单自动验证 强制数据类型转换 输入数据过滤 表单令牌验证 防SQL注入 图像上传检测
HTTP攻击与防范--PHP安全配置
杨森源的博客
05-29 5712
1什么是安全性 所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平
php安全防护的思考
t225com
01-20 215
网络安全的残酷现实,我就不多说了。写出合格的代码的人才是合格的程序员。合格的代码无非三点:安全,效率,维护性。 安全当然要排第一位,一个错误百出的程序,再快在帅都是没有用的。效率可以优化,维护性可以通过不断的重构来解决。 这里我就只关注安全性了。 PHP也学了2个多月了。做了一个信息管理系统,作为我的第一个学习研究项目。PHP在服务器端做webservice,客户端HTML+JS通过PO...
PHP安全之Web攻击
weixin_30929295的博客
12-29 390
一、SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一...
常见的PHP安全防范
阳水平的博客
05-23 3612
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
php网站防御,PHP网站的一些常见安全措施
weixin_35179252的博客
04-01 509
网站安全是网站发展的基础,其重要性是不言而喻的。我们来谈谈PHP网站一些常见的安全防御措施,虽然简单但是能够有效保障网站的安全运行。1. 关闭全局变量的注册(register_globals),关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项设置出错日志文件的保存路径。2. web服务器方面,不要以root身份运行web程...
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集管理,降低配置和维护的工作量。
NSSCTF | [第五空间 2021]WebFTP
2302_80946742的博客
05-13 221
注意看这里的题目标签,目录扫描,.git泄露。那么这道题虽然打开是一个登录的界面,但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件,最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描,我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件,但我试了试,没能成功下载。
关于 struct sockaddr_in
最新发布
weixin_73964834的博客
05-16 657
这个struct sockaddr_in 前三行有三个变量。
利用XXE漏洞读取PHP文件内容攻击如何防范
06-08
1. 避免使用外部实体。禁用或限制XML解析器的外部实体,以防止攻击者利用外部实体注入恶意代码。 2. 使用白名单机制。限制XML解析器只能访问预先定义的实体,禁止访问不受信任的实体。 3. 过滤输入。在接收到XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值