php开发中的安全

最新推荐文章于 2024-03-01 18:13:47 发布
最新推荐文章于 2024-03-01 18:13:47 发布
阅读量5.7k 收藏 2
点赞数
分类专栏: PHP 文章标签: php web开发 计算机 sql注入 xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41028544/article/details/87949276
版权

SQL注入攻击原理分析

把用户提供的数据跟我们的SQL语句拼接执行。
举例,代码如下:

$sql = 'select * from love where id='.$id;
$db->query($sql);

上面的$id是用户提交的数据,如果是1会形成如下SQL语句

select * from love where id=1

那么如果提交的是1;delete from love就会得到如下语句

select * from love where id=1;delete from love

执行结果就会删除love表里所有的数据。
黑客可以利用这个漏洞获取后台管理员账号密码,甚至通过root权限的MySQL账号控制整个网站服务器。
sqlmap专门用来做注入测试使用的工具

PDO预处理防止注入攻击

例子:

//通过自定义函数conn连接数据库
$db = conn();
//用:content先占位子,如果有多字段用逗号隔开,例如:
//$sql = 'insert into love(content,created_at) values(:content,:created_at)';
$sql = 'insert into love(content) values(:content)';
//预处理SQL语句接受返回值
$stmt = $db->paepare($sql);
//绑定对应的参数,别忘记content前的冒号,如果有有多个参数就多写几行调用bindParam函数
$stmt->bindParam(':content',$content);
//执行sql语句,返回影响的行数,stmt调用execute,不是db调用exec
$count = $stmt->execute();

XSS漏洞产生的原理

xss漏洞简单来说就是用户提交的js代码在我们网页上被执行。
分为两种存储型和反射型。可以简单试试在发布表白信息的时候,提交的表白内容改为<script>alert('123');</script>发布后,看看是否会提示对话框。

如何防止xss漏洞

我们只需要把内容中所有的<>过滤掉,就已经可以防范绝大部分的xss攻击了。
使用php函数可以很好的达到效果,根据情况使用不同函数。

ChainBlocker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分享十款最出色的PHP安全开发文详细介绍
10-24
PHP开发安全是至关重要的,尤其是对于处理用户输入和敏感数据的Web应用程序。以下是对十款最出色的PHP安全开发库的详细解释: 1. PHP IDS (PHP入侵检测系统) PHP IDS 是一个强大的安全层,用于检测针对PHP ...
基于PHP开发安全防范知识详解
10-27
PHP开发过程,确保应用程序的安全性至关重要。这篇文章主要讲解了几个关键的安全防范措施,包括防止XSS跨站脚本攻击、SQL注入、用户输入处理、文件上传、Session和Cookie的安全管理,以及使用安全检测工具。 ...
MySQL基于报错注入2
weixin_30924087的博客
05-09 94
目标站点: 0x1 注入点判断 http://www.xxxxxx.com/pages/services.php?id=1 #true http://www.xxxxxx.com/pages/services.php?id=1' #false 闭合单引号: http://www.xxxxxxcom/pages/services.php?id=1' --+ #true ...
PHP代码审计』Dhcms2.1.1存在SQL注入漏洞
Ho1aAs‘s Blog
06-25 430
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.csdn.net/xxy605 一、漏洞演示 功能——表单管理——添加表单 抓包 POST /admin.php?r=dhcms/AdminForm/add HTTP/1.1 Host: testcms.com Content-Length: 184 Accept: application/json, text/javascript, */*; q=0.01 X-Requested
Hadoop 漏洞复现
MrHatSec的博客
08-01 5967
Hadoop作为一个分布式计算应用程序框架,种类功能繁多,各种组件安全问题会带来很大的攻击面。
PHP从入门到精通—PHP开发入门-PHP概述、PHP开发环境搭建、PHP开发环境搭建、第一个PHP程序、PHP开发流程
技术超强的网络安全平台
08-02 7678
在上图,Apache的版本号为2.4.27,PHP的版本号为5.6.31,MySQL的版本号为5.7.19。l PHP是B/S(Browser/Server,浏览器/服务器)架构,即服务器启动后,用户可以不使用客户端软件,而是使用浏览器进行访问,这种方式既保持了图形化的用户界面,又大大减少了应用程序的维护量。PHP是全球网站使用最多的脚本语言之一,从最初的PHP/FI到现在的PHP 7,经过多次的重写和扩展,与Linux、Apache和MySQL共同组成了一个强大的Web应用程序平台(简称LAMP)。
PHP开发基础
weixin_64366215的博客
09-14 1459
PHP自学笔记Day 1
PHP.zip_安全开发规范
09-19
PHP开发世界安全始终是至关重要的。"PHP.zip_安全开发规范"这个压缩包文件显然聚焦于提供PHP编程的安全指南,旨在帮助开发者遵循最佳实践,避免常见的安全漏洞,提升代码质量。PHP作为一门广泛应用的服务器...
PHP开发api接口安全验证操作实例详解
10-15
PHP开发,API接口的安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP实现API接口的安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
PHP开发需要注意的安全问题
10-28
php开发过程,需要注意的安全细节,其实不只是php其它语言通用。
HDCMS内容管理系统 v141221.zip
07-06
HDCMS是一个用PHP编写的内容管理系统软件包,数据库采用Mysql。提供强大的、完整的功能,满足快速网站开发的目的。你不需要很长时间就可以开发出一个很不错的网站,而且后盾网提供很多优秀模板,让你连做模板的时间也省掉,而且我们会定期举行免费远程培训,让你的学习与使用变得更轻松。   环境要求 PHP版本需要5.1 以上才可以。 100%免费 HDCMS是完全免费的,你不用担心任何版权问题 你可以用在任意网站(包括商业网站)你不需要支付任何费用 HDCMS完全基于后盾网HDPHP框架开发提供了众多的安全特性,产品安全无忧。这些特性包括: COOKIE加密处理 数据预处理机制 XSS安全防护 表单自动验证 强制数据类型转换 输入数据过滤 表单令牌验证 防SQL注入 图像上传检测 优秀特性支持 提供多项优化策略,速度非常快 采用 MVC 设计模式 生成干净的 URL 灵活简单的html标签数据调用 内容页tag管理 全站搜索关键词管理 全站HTML静态化 安全的数据备份 自定义模型管理 支持Memcached与NoSql 灵活简单的标签特性 每周更新一个新功能       相关阅读 同类推荐:CMS系统
PHP程序开发基础
最新发布
dks_jxm的博客
03-01 1054
,以确保代码的兼容性和可移植性。特殊数据类型是指在某些编程语言,除了基本的数据类型(如整数、浮点数、字符、布尔值等)和复合数据类型(如数组、对象等)之外,还有一些特殊的数据类型用于特定的目的或表示特定的概念。①空值(Null):在某些编程语言,空值(Null)是一种特殊的数据类型,用于表示变量没有值或引用了一个不存在的对象。在Apache服务器的文档根目录下(通常是htdocs或www目录),创建一个名为test.php的文件,并输入以下代码。数据类型转换可以是隐式的(自动的)或显式的(手动的)。
PHP开发——Web的世界
weixin_72536258的博客
06-15 1330
这篇关于PHP的文章主要介绍了PHP的特性以及其在Web开发CMS系统、电子商务和数据库连结等应用场景。随着云平台、开发工具和移动应用程序等技术的不断发展,PHP将进一步提高其应用广度和深度。未来的PHP将支持更多的技术,并且将成为与Web开发工具、数据库技术、云平台、移动应用程序等相关的技术。此外,PHP未来的发展将更加高效和易用,使其更适合处理大量数据和请求,并充分考虑用户界面和易用性。
PHP几种常见的开发模式
zhoupenghui168的博客
02-23 1425
单例模式 $_instance必须声明为静态的私有变量 构造函数和析构函数必须声明为私有,防止外部程序new 类从而失去单例模式的意义 getInstance()方法必须设置为公有的,必须调用此方法 以返回实例的一个引用 ::操作符只能访问静态变量和静态函数 new对象都会消耗内存 使用场景:最常用的地方是数据库连接。 使用单例模式生成一个对象后, 该对象可以被其它众多对象所使用。 私有的__clone()方法防止克隆对象 单例模式,使某个类的对象仅允许创建一个。构造函数private修饰,
PHP开发安全问题总结
君逍遥o
04-05 210
PHP开发安全问题总结
代码审计 TIPS(1)
3569
12-14 935
https://www.chery666.cn/blog/2017/12/11/Code-audit.html 0x01 PHP 敏感配置项 register_globals(php 版本小于 5.4 时存在) 当该配置项为 ON 时,会把用户通过 GET、POST 提交的参数自动注册成全局变量。当代码存在有未初始化的变量时,可能会导致变量覆盖的问题; (PS: 其
PHP开发不能违背的安全规则
weixin_30949361的博客
08-31 85
作为PHP程序员,特别是新手,对于互联网的险恶总是知道的太少,对于外部的入侵有很多时候是素手无策的,他们根本不知道黑客是如何入侵的、提交入侵、上传漏洞、sql 注入、跨脚本攻击等等。作为最基本的防范你需要注意你的外部提交,做好第一面安全机制处理防火墙。 规则 1:绝不要信任外部数据或输入 关于Web应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) ...
PHP 之父 Rasmus Lerdorf 谈PHP开发
06-25 279
要让网站具备扩充性,必须建立分离、模组化的独立端点,而不是全部放到同一个大篮子裡。PHP语言的创始者Rasmus Lerdorf认为,程式不用写得完美,而是要简单有效,这是最重要,也是最困难的事。如果要轉載本文請注明出處,免的出現版權紛爭,我不喜歡看到那種轉載了我的作品卻不注明出處的人QQ9256114PHP是全世界上使用率最高的网页开发语言,台湾每4个网站,就有1个用PHP语言开发。1...
PHP开发的数据库安全与最佳实践
PHP开发,数据库安全是至关重要的。数据库不仅是存储用户信息和应用数据的核心,也是黑客攻击的主要目标。以下是一些关于PHP代码确保数据库安全的关键知识点: 1. **数据库和SQL**: 使用PHP连接和操作数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值