![](https://img-blog.csdnimg.cn/20190927151117521.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
PHP代码审计
文章平均质量分 83
本节记录PHP代码中的安全问题,从白盒检测角度讲解漏洞的产生及防御。
李沉肩
纸上得来终觉浅,绝知此事要躬行。
展开
-
PHP代码审计----5、密码散列安全
文章目录1、密码散列化2、md5() 和 sha1()问题3、如何对密码进行散列处理?4、“盐”是什么?5、如何保存“盐”? 在PHP中,常见的密码问题大概有以下三种: 1、密码明文存储 2、密码弱加密 3、密码存储在攻击者可以访问的文件 例如:保存密码在 txt、ini、conf、inc、xml 等文件中,或者直接写在 HTML 注释中 在代码中寻找存在密码的相关文件或内容进行查看, 1、密码散列化 当设计一个需要接受用户密码的应用时, 对密码进行散列是最基本的,也是必需的安全考虑。 如果不对密码原创 2021-07-06 10:27:22 · 211 阅读 · 0 评论 -
PHP代码审计----4、命令注入
文章目录命令注入1、system()2、exec()函数3、shell_exec()函数4、passthru()函数5、``6、popen()函数8、pcntl_exec()函数防范方法 命令注入 PHP 执行系统命令可以使用以下几个函数:system()、exec()、shell_exec()、passthru()、“、popen()、proc_open()、pcntl_exec()等。 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控,有无做输入验证 1、system() 执行外部程序原创 2021-07-07 16:03:46 · 624 阅读 · 1 评论 -
PHP代码审计----3、代码注入
文章目录代码注入1、eval()函数2、preg_replace+/e()函数3、assert()4、call_user_func()5、call_user_func_array()6、create_function() 代码注入 PHP 可能出现代码注入的函数:eval()、preg_replace+/e()、assert()、call_user_func()、call_user_func_array()、create_function()等 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控原创 2021-07-08 09:18:10 · 637 阅读 · 1 评论 -
PHP代码审计----2、文件包含
文章目录1、include()、require()2、include_once()、reuqire_once()3、fopen()4、readfile()5、show_source()函数和highlight_file()函数6、file_get_contents()7、防御方法 PHP常见的导致文件包含的函数如下:include()、include_once()、require()、require_once()、fopen()、readfile()、show_source()、highlight_fi原创 2021-07-05 18:02:13 · 415 阅读 · 1 评论 -
PHP代码审计----1、PHP环境安全
文章目录1、safe_mode2、allow_url_fopen和allow_url_include4、safe_mode_exec_dir5、magic_quote_gpc6、register_globals7、open_basedir8、session_use_trans_sid9、display_errors10、expose_php11、log_errors 1、safe_mode PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控原创 2021-07-05 15:11:49 · 176 阅读 · 2 评论