PHP WEB 安全

最新推荐文章于 2022-11-29 12:38:33 发布
最新推荐文章于 2022-11-29 12:38:33 发布
阅读量181 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wa_uh/article/details/54908182
版权

LAMP 相关安全漏洞

     sql注入,代码注入,系统命令注入,apache、nginx配置漏洞。

          sql注入:通过构建特殊的输入作为传入web应用程序,而这些输入大都是一些sql的语法组合,通过sql语句进而执行攻击者所要的操作,其主要原因是程序里没有细致的过滤用户输入的数据,导致非法数据侵入系统。

         【预防方法】

              1.过滤好字符串,判断好参数类型

               get_magic_quotes_gpc检查是否自动转义(<5.4)

               addslashes,mysqli_real_escape_string插入前转义;

               stripslashes反转义;

             2.使用mysqli,pdo等预编译语句方式执行sql

             3.过滤掉敏感sql,如select union ,drop table

前后端结合的安全漏洞

     表单校验,xss跨站脚本攻击,csfr跨站请求攻击,会话劫持,上传文件漏洞。

业务逻辑相关漏洞

     防刷和ip伪造,WEB代码目录问题,文件路径注入,身份权限验证,密码问题,金额非负问题,短信验证码,日志路径安全。



暂时就这么多,后续会跟新。


wa_uh
关注
专栏目录
Web安全简介 PHP
tusi
03-26 3244
背景 开发安全的应用程序十分重要,有漏洞的程序很容易被入侵,入侵后会造成无法承担的损失。 参考文章 Web 安全 读书笔记 [译] 2018 PHP 应用程序安全设计指北
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9113
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
PHP Web 安全
lihuan974683978的专栏
12-12 519
一、表单测试: 空白字符,控制字符,非字母数据(如符号&,*等),超长输入(大于256个字符),留言版垃圾,二进制数据,其他编码数据(如ASICII,UTF-8,十六进制,八进制等),SQL诸如,XSS 处理:设定长度规则(合法用户不会写小说),若能发邮件的地方只能一次一个发一人,错误处理进行重定向或错误提示, 二、系统调用:exec(),
[转]浅谈php web安全
heiyeluren的blog(黑夜路人的开源世界)
09-27 7305
作者:phpben来源:http://www.phpben.com/?post=79 浅谈php web安全前言:首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:
php web安全,PHPWeb安全
weixin_30995661的博客
03-10 178
前沿今天我们来讨论讨论web安全方面的知识,比如我们熟知的XSS攻击,和SQL注入。接下来我们以PHP语言来演示这两个漏洞。XSS攻击定义:什么是XSS. Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。 利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危...
PHP web安全要点:漏洞防范与控制策略
在《web安全白皮书》中,主要讨论了PHP开发过程中面临的一系列关键安全问题。首先,"非法输入UnvalidatedInput"是常见的编程漏洞,这意味着在接收用户输入之前,未能对其进行有效性检查,这可能导致OWASP(开放网络...
PHP语言教程:从入门到Web开发基础与安全实践
最新发布
10-26
使用场景及目标:适用于希望系统学习PHP语言及其在Web开发中的应用场景的读者,旨在帮助读者快速掌握PHP语言的核心知识点,提高实际项目开发能力,并注意代码的安全性与最佳实践。 阅读建议:建议按章节循序渐进学习...
程序员的角度看web安全——兼谈php代码审计.pdf
08-07
但所谓“解铃还需系铃人”,coding的问题终究还需要coder来解决,无论对于安全服务工程师还是对于普通开发工程师,在面对Web安全问题时终究要把其脉、摸其底,以往的渗透测试工程师讲Web安全或侧重漏洞原理,或侧重...
浅谈PHP安全防护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全...下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
Web安全学习_PHP学习_语法、变量、常量、函数、数组
BeatRex的博客
05-10 565
一、语法 定界符php代码需要包含在&amp;amp;amp;amp;amp;amp;lt;?php ?&amp;amp;amp;amp;amp;amp;gt;中 &amp;amp;amp;amp;amp;amp;lt;?php 代码段 ?&amp;amp;amp;amp;amp;amp;gt; 注释方法 &amp;amp;amp;amp;amp;amp;lt;?php //单行注释 #单行注释 /* 多行 注释 */ ?&amp;
WEB安全 PHP基础
yyj1781572的博客
11-24 468
WEB安全 PHP基础
WEB安全基础-PHP相关
IT1995的博客
01-05 5687
PHP相关 php代码在服务器上进行执行,以HTML形式返回给浏览器; 默认扩展名:.php 文件可包含:HTML、JavaScript、PHP代码 问:PHP是什么? 答:PHP:Hypertext Preprocessor; PHP:超文本处理器; 一种使用广泛的开源的脚本语言,常用于网页开发; PHP脚本在服务器上执行; 脚本范围: 注释:
Web安全--反序列化漏洞详解(php篇)
bobo_milk的博客
11-29 1224
反序列化
web安全————PHP安全之文件包含漏洞
longger_lee
01-13 2486
PHP安全问题     PHP由于灵活的语法成为目前非常流行的WEB开发语言,应用非常广泛。也是由于这个特点让PHP安全工作带来了一些困扰。下面讨论PHP自身的语言问题。     文件包含漏洞:     文件包含漏洞也是代码注入的一种,代码注入的原理是注入一段用户能够控制执行的脚本或代码,并让服务器端执行。代码注入的典型代表就是文件包含(file inclusion).这种文件包含漏洞可能
php基础
xlsj雪松的博客
05-10 3175
web,离不开PHP,看看最基础的,学点知识! 语法:<?php ....... ?> 1.变量 (1)PHP 变量规则 变量以 $ 符号开始,后面跟着变量的名称 变量名必须以字母或者下划线字符开始 变量名只能包含字母数字字符以及下划线(A-z、0-9 和 _ ) 变量名不能包含空格 变量名是区分大小写的($y 和 $Y 是两个不同...
Web 安全 PHP 代码审查之常规漏洞
weixin_33941350的博客
07-20 337
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值