1 在发生错误是尽量显示少量的信息;
2 除了静态页面,其他文件设置权限,不能访问,不要显示出路径/目录;
3 防止sql注入;
4 使用验证码,防止暴力获取密码,将随机生成的验证码存在session中,然后gd绘制验证码返回给用户,用户输入的信息与session中结果比较完成。
5 跨站脚本攻击XSS ,可以获取用户的cookie信息。
6 敏感数据加密,数据过滤,转义
7 严格控制上传文件类型 上传漏洞是很致命的漏洞,只要存在任意文件上传漏洞,就能执行任意代码。
其中防止sql注入-–
主要是通过往url,get/post提交的表单等插入一些数据,最终在sql语句中插入一些非法语句,这样的sql去连接数据库执行,最终得到数据库的访问权限以及里面的敏感数据。最简单的:在sql语句中的条件where中!
这样黑客可能:
获得服务器和数据库中的信息,获得数据库中的信息或者修改数据表中的信息,可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入 功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。可能向客户插入木马病毒等。
sql注入:首先要找点注入点,然后插入恶意的sql语句(各种的数据类型或者存储函数等),根据反应判断sql语句的原型和数据库的信息,最终得到数据库的访问权限。
**php
1 输入信息要过滤,正则表达规范 ; 输入信息转义;
2 改变逻辑; 在使用静态查询,如使用参数化声明,mysql连接采用预编译;
3 对于敏感数据采用高级的散列算法,加密;
4 异常信息给出尽量少的信息。:黑客做不同的尝试来破解。
5遵循“最小权限准则”,即只赋予应用程序完成其功能的最基本权限。以下是关于最小权限的一些建议:
不要使用root权限访问数据库;为数据表设定限制的可读/可写权限;慎用数据库存储过程**
跨站脚本攻击(也称为XSS):
概念:恶意攻击者往Web页面输入框或者url中输入恶意html代码/JS脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
危害:
盗取用户COOKIE信息。
跳转到钓鱼网站。
操作受害者的浏览器,查看受害者网页浏览信息等。
蠕虫攻击。
描述:反射型跨站。GET或POST内容未过滤,可以提交JS以及HTML等恶意代码。
例如
解决:
用户能控制的内容,我们一定要使用htmlspecialchars等函数来处理用户输入的数据,并且在javascript中要谨慎把内容输出到页面中。
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >参考引用
http://blog.csdn.net/a930716/article/details/45274365
http://blog.csdn.net/initphp/article/details/7684686
XSS: http://netsecurity.51cto.com/art/201408/448305_all.htm
1639
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
