关于php安全

最新推荐文章于 2023-07-03 23:41:34 发布
最新推荐文章于 2023-07-03 23:41:34 发布
阅读量208 收藏
点赞数
分类专栏: PHP 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014222774/article/details/54435231
版权

平时写代码很少注意这一块,查阅资料发现以前有太多不严谨的地方,借此机会整理,加深印象和理解。

关于安全很重要的一点就是不要相信用户给到的数据,鬼知道他会给你什么,他到底是平常用户还是恶意攻击,由于代码的不严谨,有可能用户一次失误的输入,就会造成系统崩溃,甚至更糟糕的结果。

1. sql注入:在进行数据哭操作时,比如插入或者查询的时候,带有";"恶意截断要进行的操作,然后执行drop或select等恶意操纵.

所以操作数据库时对于用户传入的替换内容,要进行过滤和特殊字符处理

2.xss攻击:跨网站脚本攻击

无论用户输入什么,或者是输出什么到客户端,都要用htmlspecialchars函数过滤

3.csrf攻击:跨站请求伪造,也就是说别人盗用了你的身份,进行浏览和数据操作

相信大家都看到过好多登录,或者发布信息提交表单的时候,让输入验证码,其实,这就是一种防止csrf攻击的方式。在验证用户登录的时候,可以采用随机数salt+pass+md5或者hash的形式

4.文件上传:要严格控制要上传的文件类型,防止恶意脚本代替文件上传

5.验证码:我们一般将验证码字符串存于session中与用户输入做对比,无论用户输入的正确与否,

我们都要清理SESSION




尛尛123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP安全1
08-08
PHP安全1的主题主要涵盖了几个关键点:用户输入数据的处理、SQL注入的防范、代码注入的避免、服务器端安全脚本的设计以及XSS攻击的防御。 1. 用户输入数据的处理: - **不可信的用户输入**:用户提交的所有数据都...
php安全总结1
08-08
php安全总结1
网络安全-自学笔记
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
PHP安全 [安全编码]
weixin_45253622的博客
05-26 7694
总则: 绝对安全的系统是不存在的。最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。 木桶原理,一个系统的的强度是由它最薄弱的环节决定的。 安全编码细则: 所有输入的数据都是有害的(直接或者间接由用户输入的) 不依赖运行环境的安全配置 安全控制措施落实在最后执行阶段 最小化 失败终止 文件系统安全 源码: <?php //从用户目录中删除指定的文件 $username = $_POST['user_submitted_name']; $us.
关于PHP线程安全和非线程安全的区别
NOT NULL
10-12 3116
前段时间因天业务需求,需安装某一项目但是在安装过程中总会出现各种报错,不正常的显示,经与原开发人员交流后发现,此项目要求PHP必须要是非线程安全的。为此我特意去查了一下关于PHP线程安全和非线程安全,现整理如下(此前提是在Windows环境下): 要论两者的区别,详细论说起来比较麻烦,从使用者的角度,记住什么时候用哪种版本的区别就可以了吧: windows + IIS + FastCGI :使用非
Web安全-一句话木马
热门推荐
道阻且长,行则将至。
05-08 31万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
php为什么不安全
zepcjsj0801的博客
02-19 4077
最近遇到两位客户,说了一个让我有点怀疑人生的问题:php安全 我做php十年,这个问题从我开始接触php就听说了,但是一直没当回事。 我的大学专业是.net,毕业后从事的工作就是开发,但是.net的开发以及调试、修改bug的过程很让人捉急,也很可能是当时水平不够造成的。 偶尔一次项目接触了php,确切的说是接触了thinkphp,其他语言的项目在php面前显得过于臃肿和繁琐,然后对php就一发不可收拾。 直到最近两个体量比较大的客户问了这个问题,在我拼命解释原因之后不得不回忆我解释的是否显得更加欲盖弥彰。
常见的PHP安全防范
阳水平的博客
05-23 3648
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
web安全php基础_搭建php环境
最新发布
JiuMeilove的博客
07-03 2万+
首先打开phpstudy的网站栏点击创建网站,新建一个网站(域名随便输反正是局域网)然后点击确认。然后网站好了,就可以新建项目,打开phpstorm,然后点击new project新建项目,然后再在刚刚打开的站点添加/phpinfo.php,看到如下页面,即我们的php环境搭建完成。然后在location栏里选择项目路径,就是刚刚我们创建的那个站点的路径。这个是问你文件夹不是空的是否在这个非空文件夹创建项目,点击创建就好。打开浏览器输入刚刚创建网站时输入的域名,即可看见我们的网站。如下,网站便创建好了。
WEB安全基础-PHP相关
IT1995的博客
01-05 5660
PHP相关 php代码在服务器上进行执行,以HTML形式返回给浏览器; 默认扩展名:.php 文件可包含:HTML、JavaScript、PHP代码 问:PHP是什么? 答:PHP:Hypertext Preprocessor; PHP:超文本处理器; 一种使用广泛的开源的脚本语言,常用于网页开发; PHP脚本在服务器上执行; 脚本范围: 注释:
PHP网站常见一些安全漏洞及防御方法
网络安全
05-11 1万+
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。 2、SQL注入漏洞 在进行网站开发的时候,程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行
一个php安全过滤类库
05-04
"一个PHP安全过滤类库"是专门为开发者设计的工具,旨在帮助他们在处理用户输入数据时防止各种安全威胁。这类库通常包含一系列预定义的函数或类方法,用于对输入数据进行验证、清理和转义,以消除潜在的SQL注入、跨站...
PHP安全性漫谈
10-28
PHP安全性漫谈】 在PHP开发中,安全性是至关重要的,尤其在Linux+Apache+MySQL+PHP这样的服务器环境中。本文将探讨如何增强Apache Server的安全设置以及PHP安全配置,以保护系统免受潜在威胁。 首先,我们关注...
PHP安全配置详细说明
10-28
PHP安全配置】是保障网站安全的关键步骤,尤其是在使用PHP作为服务器端脚本语言时,因为其强大功能可能带来的风险不容忽视。安全模式是PHP提供的一种基础防护机制,旨在为多用户共享的Web服务器创建一个相对安全的...
Yii2 导入导出Excel
尛尛的博客
01-15 6418
前两天做excel导入的工作,发现网上关于导出的很多,而导入的几乎寥寥,顺手整理一下导入导出。yii2 excel导入$fileName = '/www/test.xlsl'; $tag_data = \moonland\phpexcel\Excel::import($fileName, [ 'setFirstRecordAsKeys' => true,
PHP警告Cannot use a scalar value as an array
尛尛的博客
02-17 5496
报错代码 foreach ($data as $key => $value) { $strtotime = strtotime($key) + 3600 * 8; $time = intval($strtotime / 86400); try { $cache = Yii::$app-
yii2 常用ActiveForm表单样式用法总结
尛尛的博客
01-15 4469
表单整体输出样式 <?php $form = ActiveForm::begin([ 'options' => ['enctype' => 'multipart/form-data', 'class' => 'form-horizontal'], 'method' => 'post', ]); $template = ['template'
PHP接口(interface)的特点
尛尛的博客
02-05 2922
PHP接口(interface)的特点 1、接口的方法必须是公开的。 2、接口的方法默认是抽象的,所以不在方法名前面加abstract。 3、接口可以定义常量,但不能定义成员属性,常量的定义和用法和类中常量一样。 4、类可以实现多个接口(相当于把多个功能集于一身,如手机实现了小灵通、MP3、MP4的功能) 5、接口也可以继承接口。
PHP安全编码实践与配置指南
"PHP安全编码手册是针对PHP编程中安全问题的一份指南,旨在帮助开发者遵循最佳实践,预防和解决潜在的安全风险。手册涵盖了PHP的基础知识、安全模式以及通用的安全解决方案,如禁用无用函数、限制脚本操作路径等。" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值