PHP 安全防护手段

最新推荐文章于 2023-09-27 18:00:00 发布
最新推荐文章于 2023-09-27 18:00:00 发布
阅读量301 收藏
点赞数
分类专栏: SQL注入 XSSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014466635/article/details/119568994
版权


一 代码层
   1.黑名单 :      不允许 mysql 关键字:select insert update delete等.....

/**
 *
 *
 * @param 参数数据类型 参数变量 参数说明
 *
 * @return 返回数据类型 返回说明
 * Date: 2021/8/10 Time: 17:38
 * @author owen <邮箱>
 */
public function check_blacklist($value)
{
    #黑名单
    $blacklist=array(
        'select',
        'update',
        'delete',
        'insert',
        '<script>',
        '</script>',
        "!",
        "--",
        "<",
        ">",
        '"',
        "'",
        ";",
        "=",
        "alert",
        "truncate",
        "drop",
        "is",
        "null",
        "or",
        "not",
    );
    foreach ($blacklist as $k=>$v){
        $value= strtolower($value);
        if(strpos($value,$v) !== false){
            $data = array(
                'code' => 10110,
                'msg' => "非法关键字:".$v
            );
            exit(json_encode($data));
        }
    }
}

   
   2.白名单 :      允许通过的字符
   
   3.敏感字符过滤   单引号 双引号等... 
  3.1  HTML Purifier     作用:防止XSS攻击。      http://htmlpurifier.org/
  
   4.使用框架安全操作:    CI的AR(Active Record)的数据库CURD方式    escape_str()   escape_like_str()转义操作
 
   5.规范输出:             屏蔽SQL 报错信息 代码报错输出    服务器信息屏蔽
  
  
二 配置层
    使用utf-8            GBK会产生注入
 # magic_quotes_gpc   就算了,已经废弃,不建议使用
 
三 物理层
 WAF         web应用防火墙(常规过滤特殊字符, 但也可以绕过,  只是基本的一种防御手段,不是万能)  
    数据库审计       :数据库审计(简称DBAudit)以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。
    云防护        云WAF   
    IPS(入侵防御系统)    防御网络攻击
 
 安全防护需要结合以上几个层面防御。 而不是单单某一层面进行防御。

远方的风灬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP安全防范技巧分享
10-28
里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.
php 应用程序安全防范技术研究
10-29
比特网专家特稿:关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
php 绕过 stripos,PHP的两个特性导致waf绕过注入(有趣的知识点)
weixin_29692851的博客
03-28 1517
1、HPP HTTP参数污染HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:user.php?id=111&id=222如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。2、一个CTF题目关于注入的waf绕过,注入点为:Default$sql="select * fro...
PHP网站常见一些安全漏洞及防御方法_php
wangluoanquan111的博客
09-27 1008
一、常见PHP网站安全漏洞对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞。
PHP 安全编码总结笔记
CSDN
03-15 7120
代码中的 HTTP_X_FORWARDED_FOR 地址可以被伪造,而REMOTE_ADDR则相对更安全,有些应用程序会将对方IP地址带入数据库查询是否存在,例如同一个IP每天只能注册一个账号等,如果目标代码中使用的是 HTTP_X_FORWARDED_FOR 获取的IP地址,那么攻击者就可以通过修改HTTP包头实现SQL注入攻击。猜数据库名称: 盲注也就是程序会返回两种状态,查询成功与查询失败,我们需要自己构建判断条件,常用语句如下.猜字段: 如果网页返回正常,说明存在猜测的字段,不正常则需要继续猜.
PHP代码审计与绕过 (SQL 注入)
CSDN
02-07 5558
有些为了业务需要他会把传入一些编码后的参数再解码带入数据库查询,常见的有base64编码,也有的程序会内置url解码,通常见于框架.代码中通过使用replace函数对MySQL的注释进行了一定程度的过滤,这相当于waf中的敏感字段过滤,该如何绕过呢?此处的负数就是让第一条语句失效,这样才能有空间输出第二条语句的结果,也就是输出version()的执行结果。简单的进行查询测试,此处的查询语句没有经过任何的过滤限制,所以呢你可以直接脱裤子了.此处我们构建的payload语句是这样的。
不谈具体的代码,php站点安全防护心得
YeJinYang的博客
01-26 391
不谈具体的代码,php站点安全防护心得 首先,php本身有漏洞不在这篇文章的讨论范围之内,具体问题自行解决,这里要说的,是假如代码就是有漏洞,但是漏洞又找不到的情况下,如何去做。此文章仅针对小站点,大站点请忽略。 常见的漏洞有两个,一个是通过XSS进入了后台,一个是上传木马。 实验环境 centos7 php7.1 nginx 防御XSS: 后台一般都有个后台目录,给该目录加上目录保护(浏览器打开目录,会提示输入账号密码),这样即便被拿到了后台的cookie和地址,也进入不了。下面是通过宝塔面板的
基于PHP开发中的安全防范知识详解
10-27
本篇文章是对PHP开发中的安全防范知识进行了详细的分析介绍,需要的朋友参考下
编程语言+PHP+动态网页+安全防护
最新发布
03-01
编程语言+PHP+动态网页+安全防护**:这是一个关于PHP编程语言的动态网页的安全防护的资源,适合有一定PHP基础的开发者。它介绍了PHP的特点、优势、劣势和应用领域,以及如何使用PHP来开发动态网页,包括表单、文件、...
一个php安全过滤类库
05-04
一个php安全过滤类库
浅谈PHP安全防护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
php防注入 ini,php.ini magic_quotes_gpc配置防注入方法(1/5)_PHP教程
weixin_33834241的博客
03-25 235
php教程.ini magic_quotes_gpc配置防注入方法1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off2. 开发者没有对数据类型进行检查和转义不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 mysql教程 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 we...
PHP常见漏洞的防范措施
大鹏
12-18 1951
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
怎么绕过PHP防护,PHP代码层防护与绕过
weixin_30844577的博客
03-18 477
0x01 前言在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。0x02 关键字过滤1、使用strpos过滤关键字PHP过滤代...
常见的PHP安全防范
阳水平的博客
05-23 3612
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
php网站防御,PHP网站的一些常见安全措施
weixin_35179252的博客
04-01 509
网站安全是网站发展的基础,其重要性是不言而喻的。我们来谈谈PHP网站一些常见的安全防御措施,虽然简单但是能够有效保障网站的安全运行。1. 关闭全局变量的注册(register_globals),关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。2. web服务器方面,不要以root身份运行web程...
php需要做的安全防护
空白_回忆的博客
07-13 860
php需要做的安全防护 XSS安全防护 表单自动验证 强制数据类型转换 输入数据过滤 表单令牌验证 防SQL注入 图像上传检测
php安全防护的思考
t225com
01-20 215
网络安全的残酷现实,我就不多说了。写出合格的代码的人才是合格的程序员。合格的代码无非三点:安全,效率,维护性。 安全当然要排第一位,一个错误百出的程序,再快在帅都是没有用的。效率可以优化,维护性可以通过不断的重构来解决。 这里我就只关注安全性了。 PHP也学了2个多月了。做了一个信息管理系统,作为我的第一个学习研究项目。PHP在服务器端做webservice,客户端HTML+JS通过PO...
高级PHP开发工程师学习路线
09-07
- 掌握常用的安全防护措施,如输入验证、数据过滤、密码加密等。 6. 设计模式和架构: - 了解常见的设计模式,如单例模式、工厂模式等,应用到实际开发中。 - 学习软件架构的基本原则,如MVC、RESTful等。 7. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值