PHP安全性问题及解决方式

最新推荐文章于 2024-07-02 13:04:56 发布
最新推荐文章于 2024-07-02 13:04:56 发布
阅读量336 收藏 1
点赞数
分类专栏: 学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24810991/article/details/103727573
版权

1、SQL注入
解释:SQL注入通俗的讲就是未对用户输入的数据进行过滤,导致在程序在运行时,将用户输入的数据当作SQL语句的一部分进行执行,从而危害服务器安全,常见的 OR 1=1 或者 where 1=1
解决方式:
1、对用户的输入数据进行数据过滤,在进行操作 如:addslashes()或者开启magic_quotes_gpc方法
2、针对获取的数值型数据,进行二次转换,如:intval(),floatval()
3、所有需进行数据库查询的变量都是用单引号包围
4、使用框架 thinkphp、laravel中的sql语法,一般都能阻止SQL注入
2、CSRF攻击
解释:又名“跨站请求伪造”,攻击者首先盗用了你的身份,然后以你的名义进行非法操作,如:用户登录银行网站后又点击了一个非法者自己创建的网站,非法网站能够直接盗取你登录银行网站的登录凭证,并且利用登录凭证做一些非法操作(查账、转钱…)
解决方式:
1、验证HTTP Referer
在head头中有Referer,它记录了该Http请求的源地址,通常情况下,非法者只能在自己的网站上构建请求,所以Referer为非法者的网站,只需将用户每次请求的Referer进行验证即可防御这种攻击,但这种方式存在着漏洞,因为Referer可以被设置
2、在请求中添加token验证
token是服务器返回给用户端的一串随机字段,csrf攻击依赖于浏览器的cookie,而token不依赖cookie(一般使用input框直接表单提交),服务端直接验证提交token是否合法即可防御csrf攻击
3、不充分的密码哈希
大部分的web应用需要保存用户的认证信息,如果密码哈希做的足够好,在网站被攻破时,即可保护用户信息。
MD5和SHA设计的初衷是速度快,而不是密码加密,应该将用户的密码加盐(random_bytes(20))加密,避免两个相同的密码产生相同的哈希,或是使用PHP自带的password_hash()函数加密
3、中间人攻击(MITM)
MITM攻击不是针对服务器攻击而是针对用户进行,攻击者作为中间人欺骗服务器它是用户,欺骗用户它是服务器,从而拦截用户和网站的流量,对此防御的唯一方式是使用https的方式
4、禁止弹出系统错误信息,不要将自己服务器信息暴露在外面

訫鈊衅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP项目的安全原则
weixin_52345129的博客
01-16 1001
从W3Techs 发布的历年服务器端编程语言使用趋势报告显示,近十年来 PHP 在份额上依旧牢牢占据榜首的位置,报告从 2013 年开始一直持续到 2024年。可以看到 PHP 始终占有 75% 以上的份额,几乎没有遇到比较大的波动。尽管最近几年 PHP 不再流行,大家也一直拿“PHP 是世界上最好的语言”来进行调侃,但从数据上看 PHP 仍是迄今为止最常用的服务器端语言。
PHP中散列密码的安全性分析
10-16
总结起来,PHP中散列密码的安全性涉及多个方面,包括使用安全的散列函数、加盐、以及利用PHP的`password_hash`和`password_verify`函数。开发者应始终保持对最新安全实践的关注,以保护用户的密码免受攻击。在权衡...
PHP常见的安全问题
王洪彪的个人博客
12-08 371
恶意攻击  方式1:get dos   解决办法:防火墙。 方式2:post表单提交 解决办法:添加验证码。 SQL注入 方式1:万能帐号xxx'or 1# 方式2:万能密码 xxx'or '1 解决办法:通过PHP函数addslashes()转义单引号或者双引号 方式3:通过get方法传值 解决办法:通过intval()函数来转
PHP安全性探讨 PaperGPT
最新发布
2401_86114684的博客
07-02 285
通过加强代码审计和漏洞修复、采用安全的编程实践、限制文件包含功能的使用、使用Web应用程序防火墙以及定期更新和升级等措施,我们可以提高PHP系统的安全性,减少潜在的安全风险。例如,对用户输入进行严格的验证和过滤,避免使用不安全的函数或方法,对数据库查询进行参数化等。这些措施可以有效减少潜在的安全风险。开发者应该使用专业的代码审计工具或聘请专业的安全团队来检查代码中的安全隐患,并及时修复已发现的漏洞。如果必须使用文件包含功能,开发者应该严格验证被包含文件的来源和路径,确保只有可信的文件才能被包含。
PHP安全性
weixin_30731305的博客
07-12 64
一、防sql注入 用户通过输入完整的字符,来和sql语句拼接成带有破坏性的sql语句,服务器执行该语句,造成破坏。 1使用mysql_real_escape_string()过滤数据,该方法在未来版本会淘汰 <body> <form action="chuli.php" method="post"> <div> <input type="t...
php 安全性
平凡中不平凡
05-10 403
mysql 字符串转义 mysql_real_escape_tring() php get传过过来的数字 首先检查字符串的长度strlen() 然后正则匹配ereg("^[0-9]+$",$a) Xss跨站点 $_SERVER['HTTP_REFERER'] 检查http请求地址 strip_tags() 清除任何包围在html标记中的内容、 htmlspecialch
PHP开发中常见的安全问题详解和解决方法
luantao9999的专栏
03-17 405
这篇文章主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如:Sql注入、CSRF、Xss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下。 浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以...
浅谈php安全性需要注意的几点事项
01-21
在放假之初,我抽时间看了《白帽子讲web安全》,吴翰清基本上把web安全中所有能够遇到的问题解决思路归纳总结得很清晰,也是我这一次整体代码安全性的基石。 我希望能分如下几个方面来分享自己的经验 把握整站的...
PHP新建类问题分析及解决思路
12-18
为了解决这些问题,可以采取以下策略: - 在实例化 `Main` 类时,先检查 `$_GET['index']` 是否存在。如果存在,则将其作为参数传递;否则,使用默认值。 - 在类的内部,对 `$index` 进行进一步的检查和处理。例如...
Session的工作机制详解和安全性问题PHP实例讲解)
12-19
然而,Cookie存在安全性问题,有些用户可能禁用Cookie,或者其数据大小有限制,而且直接依赖客户端的数据并不安全。 Session作为一种更安全的状态管理机制,由服务器端管理。PHP的Session工作原理是,当用户访问带...
php Sql Server连接失败问题解决办法
10-29
有时,更新PHP版本或SQL Server驱动到最新稳定版本也能解决问题,因为新版本可能修复了已知的兼容性和安全问题。 10. **网络环境**: 检查网络连接是否稳定,尤其是如果SQL Server位于不同的网络环境中。确保两台...
PHP 安全问题入门:10 个常见安全问题 + 实例讲解
weixin_33766805的博客
04-03 198
文章转自:learnku.com/php/t/24930 更多文章:learnku.com/laravel/c/t… 相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。 此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你做到这...
PHP漏洞全解(PHP安全性/命令注入/脚本植入/xss跨站/SQL注入/伪跨站请求/Session劫持/HTTP响应拆分/文件上传漏洞)...
weixin_34323858的博客
12-05 851
目录PHP漏洞全解(一)-PHP网站的安全性问题PHP漏洞全解(二)-命令注入攻击PHP漏洞全解(三)-客户端脚本植入PHP漏洞全解(四)-xss跨站脚本攻击PHP漏洞全解(五)-SQL注入攻击PHP漏洞全解(六)-跨网站请求伪造PHP漏洞全解(七)-Session劫持PHP漏洞全解(八)-HTTP响应拆分PHP漏洞全解(九)-文件上传漏洞 PHP漏洞全解(一)-PHP网站的安全性问题 针对P...
架构师必须知道的26项PHP安全实践
weixin_30488085的博客
04-27 158
PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全方面的最佳实践。 为PHP安全提示而提供的示例环境 文件根目录(DocumentRoot):/var/www/html 默认的Web服务器:Apache(可以使用L...
PHP安全性问题,你能说得上几个?
lxw1844912514的博客
10-17 649
一、SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会...
PHP开发可能会遇到的安全性问题汇总
d429667292的博客
11-12 919
1. PHP配置文件下的Register Globals  如果设为on, 会自动将表单提交的参数设为全局变量, 也就是无需手动声明变量, 自动将提交的数组KEY作为变量名, VALUE作为变量值,  这样存在的隐患是用户如果知道某个关键变量名的作用, 这个变量就可被这个用户操控, 所以, 最好是设为OFF. 2. 对所有传到后台的数据都做过滤. 欺骗表单提交: 如果不作过滤, 用户可以手动...
PHP漏洞全解————1.PHP网站的安全性问题
Fly_鹏程万里
03-31 2538
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站...
PHP常见安全问题解决方法
qq_18847065的博客
01-01 194
1、SQL注入 问题说明: SQL注入是对您网站最大的威胁之一,如果您的数据库受到别人的 SQL 注入的攻击的话,别人可以转出你的数据库,也许还会产生更严重的后果。 解决方法: 主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。转义的方法是封装好一个函数,用来对用户提交的数据进行过滤dnf私服,去掉有害的标签。但是,我不太推荐使用这个方法,因为比较容易忘记在每个地方都做此处理。 示例代...
PHP常见问题解决与调试技巧总结
综上所述,PHP编程中常见问题解决方法主要包括数据获取问题、调试程序、PHP版本兼容性问题、数据库连接问题安全性问题。通过本文的总结,相信能够帮助开发者更好地理解和解决PHP编程中常见的问题,提高编程效率...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值