php
shuaishuai6688
这个作者很懒,什么都没留下…
展开
-
《PHP安全之道》学习笔记6:密码安全
《PHP安全之道》:密码安全 最近几年用户数据泄露越发频繁,一些使用PHP技术的大型网站被暴库或者脱库,facebook公司曾因为此类事件股价暴跌。从长远发展来看,用户的数据安全对于网站来说至关重要,所以开发者需要关注数据相关的安全,并提高一些对敏感数据的技术性保护。 用户数据的安全往往和用户密码安全息息相关。用户将账号和相关数据存储在服务器上,而密码成了第一个环节。 1.常...转载 2020-02-28 11:36:25 · 468 阅读 · 0 评论 -
《PHP安全之道》读书学习笔记4:系统命令注入
系统命令注入 我们有时候写代码会用php脚本去调用系统函数完成业务功能,但是一些系统函数属于高危操作,一旦被webshell或者抓住漏洞则后患极大。 下面整理如下风险系统函数. exec() 函数 该函数可以执行系统命令,并且返回输出结果到$output中。具体使用请参考官网。 例如 用户访问http://localhost/exec.php?cmd=ls-al,cmd中的命令将被执行...转载 2019-12-25 13:06:35 · 274 阅读 · 0 评论 -
《PHP安全之道》读书笔记3:常见漏洞和攻防
第一篇 SQL注入 安全配置和编程安全并不是万全之法,攻击者往往可以通过对漏洞的试探找到新的突破口,甚至0days。 下面总结以下常见漏洞,在日常开发维护工作中可以留意。 *聊聊老朋友:SQL注入漏洞 多年前我还在念本科三年级的时候就做了一次关于SQL注入的攻防实验,SQL注入在WEB1.0时代是非常常见的攻击手段,特别是一些远古时期的ASP、PHP站点,往往容易被注入提权。 简单来说S...转载 2019-12-25 13:03:23 · 245 阅读 · 0 评论 -
《PHP安全之道》读书笔记2:编码安全指南
编码安全指南 编程本身就应该是一门艺术,而安全编程更是一种在刀尖上舞蹈的艺术,不仅要小心脚下的锋利寒刃,更要小心来自网络黑客或攻击者的狂轰乱炸。 - by code artist 1.hash比较的缺陷 经过试验发现,当Hash值以"0e"开头且后面都为数字,当和数字进行比较的时候总会被判断和0相等 例如: var_dump('0e1327544' == 0); // bool(tr...转载 2019-12-25 13:01:54 · 252 阅读 · 0 评论 -
《PHP安全之道》读书笔记1:PHP项目安全设置
在全球范围来看,超过了80%的网站是使用php进行搭建的,由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。 1.屏蔽PHP错误输出。 在/etc/php.ini(默认配置文件位置),将如下配置值改为Off display_errors=Off 不要将错误堆栈信息直接输出到网页上,防止黑客加以利用相关信息。 正确的做法是: 把错误日志写...转载 2019-12-25 12:59:50 · 385 阅读 · 0 评论 -
ubuntu 11.04+nginx+mysql+php网站服务器配置
安装 安装nginx sudo apt-get install nginx 安装mysql sudo apt-get install mysql-server 安装php sudo apt-get install php5-cli php5-cgi php5-mysq原创 2011-09-07 22:04:16 · 433 阅读 · 0 评论