php设置跨站,php配置防跨站、防跨目录安全

最新推荐文章于 2023-03-16 19:28:36 发布
最新推荐文章于 2023-03-16 19:28:36 发布
阅读量793 收藏 1
点赞数
文章标签: php设置跨站

php配置防跨站、防跨目录安全

现在很多网站都是采用php建站,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防跨站、防跨目录等一些设置,可以有效的防止服务器上所有的php网站被恶意篡改。

适用范围及演示系统

适用范围:php5.3及以上版本

演示系统:centos

防跨站、防跨目录安全设置方法

第1步:登录到linux系统终端。

第2步:找到并打开php配置文件。

第3步:在php.ini最底部添加以下代码,并保存。大家可就按以下代码改成自己网站的配置即可。

[HOST=www.45it.com]

open_basedir=/wwwroot/www.45it.com/:/tmp/

[PATH=/wwwroot/www.45it.com]

open_basedir=/wwwroot/www.45it.com/:/tmp/

注:就如上代码添加完之后就是防跨站防跨目录的安全配置了,但是有一些缺点,就是比如说我们运行一些php探针等一些程序可能就是无法正常运行了,如果想让网站正常运行php探针的话需要在/tmp/后加上:/proc/

第4步:添加完代码并保存php.ini,之后重启php服务即可生效。

/php/28498.htmlwww.phpzy.comtrue/php/28498.htmlTechArticlephp配置防跨站、防跨目录安全 现在很多网站都是采用php建站,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对...

白汐牙
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何禁止PHP脚本跨站目录
weixin_54963682的博客
03-14 544
如何禁止PHP脚本跨站目录 前言 在一些渗透测试遇到的环境,有的时候我们会发现shell所能访问目录非常有限,可能只有当前网站的一个根路径,当我们需要从旁拿目标点的shell时往往被局限于此。这篇文章就是研究下php防跨目录的一个安全配置。 现在网络上大部分php的环境是lamp或者lnmp,那么防止跨站目录的方式大致分为两类:间件的配置php.ini的配置。本文将对这两种方法来进行讲解。 间件 我们首先先从间件的层面来看这个问题。 apache 阿帕奇是比较成熟的间件,我们可以
LNMP下防跨、跨目录安全设置,仅支持PHP5.3.3以上版本
09-15
LNMP一键安装包下存在跨站和跨目录的问题,跨站和跨目录影响同服务器/VPS上的其他网站,最近看PHP 5.3,在5.3.3以上已经增加了HOST配置,可以起到防跨、跨目录的问题
【nginx】如何在phpstudy的nginx配置解决跨域问题?(windows版巨简单)
cherry_boat的博客
11-20 2742
我就喜欢用phpstudy,毕竟简单啊哈哈哈
网络安全风险感知和发掘,练习题
热门推荐
g5703129的博客
03-28 2万+
一、单项选择题 1. BurpSuite插件支持哪两种编程语言?() A.C#、Java B.Java、Python C.Ruby、Perl D.PHP、Java 2. HTTP请求设置()请求方法可获取服务器的应用服务信息。 A.Head B.Trace C.POST D.OPTIONS 3. UNIX系统用户的有效用户组是() A.运行时是不可变 B.任意...
设置php文件不能被网站访问,.htaccess 禁止某个页面不能访问
weixin_36073654的博客
03-19 503
Apache Web 服务器可以通过 .htaccess 文件来操作各种信息,这是一个目录配置文件的默认名称,允许去央化的 Web 服务器配置管理。可用来重写服务器的全局配置。该文件的目的就是为了允许单独目录访问控制配置,例如密码和内容访问。下面是 21 个非常有用的 .htaccess 配置的提示和技巧:1. 定制目录的 Index 文件DirectoryIndex index.html ...
php设置跨站,防跨目录设置
weixin_39781326的博客
03-09 538
防跨目录安全设置/配置更新时间:2017-01-27 13:25来源:电脑技术网作者:电脑技术网查看评论文章简介在网站的运营过程,经常会出现各种安全问题,其会出现一种跨站目录访问的问题,如A网站出现被上传一个文件管理器或是木马,通过这个文件管理器,却能访问服务器所有的文件,这对服务器来说是一种非常危险的事件。电脑技术网这里把有关php.ini有关防跨目录设置再说一次和...
Web防止跨站脚本攻击
weixin_43355440的博客
10-24 277
跨站脚本攻击 XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是对部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被部修改,因此可能被...
防跨请求措施 (CSRF)
老鹰之歌的学习笔记
06-04 859
使用表单提交数据到服务器是日常的程序行为,可很多同行并没有对伪数据跨站请求采取措施. 这里要谈的是服务器端跨站请求而不是JS脚本跨站攻击.相对而言,JS脚本跨站造成的危害会更大,防范措施类似SQL防注入. 现在要讲的是CSRF. CSRF是什么呢?是指从我们的表单之的其它地方伪造数据提交到处理程序的行为. 欺诈者经常使用这种方法提交垃圾数据,这些数据不但惹人生厌,而且很可能对点造成
什么是跨站攻击
ellis2008的专栏
03-11 1633
<br />跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。<br />业界对跨站攻击的定义如下:“跨站攻击是指入侵者在远程WEB页面的HTML代码插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其的脚本将被解释执行。”由于HTML语言允许使用脚本进行简单交互,
关于防止 PHP 跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1002
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不该提供自己的 HTML 标记的情况。在一个上下文安全的(例如允许使用 HTML)在其他上下文可能是灾难性的(例如,我们处于 HTML 属性的间)。...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS)
05-02
” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介不要写自己的正则表达式来...
迅睿CMS免费开源系统-PHP
06-20
她拥有强大稳定底层框架,以灵活扩展为主的开发理念,二次开发方便且不破坏程序内核,为 WEB 艺术家创造的 PHP程序,堪称 PHP 万能建框架。 迅睿CMS免费开源系统特点: 一、程序架构 迅睿CMS框架是采用PHP8...
SQL注入攻击与防御(安全技术经典译丛)
02-19
 7.4.2 创建跨站脚本  7.4.3 在Oracle上运行操作系统命令  7.4.4 利用验证过的漏洞  7.5 本章小结  7.6 快速解决方案  7.7 常见问题解答 第8章 代码层防御  8.1 概述  8.2 使用参数化语句  8.2.1 ...
Nginx版UPUPW PHP绿色服务器平台
02-13
PHP/7.2.7正式版 新一代的PHP版本,性能显著提升,易学易用、速度快、跨平台; MariaDB/10.3.8 MySQL分支版本使用方法完全一致,有着更强的性能和兼容性; Redis/3.2.1 非常高效的数据缓存服务端; phpMyAdmin/...
如何安全配置php.ini
u014265398的博客
11-15 942
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言1.限制php泄露信息2.删除不必要的扩展3.禁用远程代码执行4.开启错误日志5. 合理控制资源6 禁用危险的PHP函数7.上传文件8.保持版本最新9.控制文件系统访问10.控制POST大小11 .打开php安全模式总结 前言 PHP安全是广大开发人员担心的主要问题。虽然PHP提供从里到的可靠安全,但是需要由开发人员正确地落实这些安全机制。我们在本文将为Linux管理员介绍几个PHP安全要点。这些要点将帮助你确保We
php.ini的默认配置文件安全配置选项
qq_39330735的博客
03-16 897
当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同。在PHP提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问php安全模式是个非常重要的内嵌的安全机制,能够控制一些php的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,当然,如果这样设置了,那么获取对变量的时候就要采用合理方式,比如获取GET提交的变量var,
php 禁止访问 目录设置密码,如何配置禁止访问index.php文件以的文件
weixin_32199821的博客
03-23 168
配置禁止访问index.php文件以的文件的方法:1、新建【.htaccess】文件,增加重写规则;2、编辑httpd.conf文件,支持重写模块;3、重启apache服务。在apacheweb目录下,新建index.php,other.php 可以发现都可以访问。在web目录下新建文件(.htaccess),加入以下内容:RewriteEngine onRewriteRule ^(.*)$ ...
PHP安全:如何合理地限制PHP访问范围?
ysds20211402的博客
01-12 699
摘自:微点阅读https://www.weidianyuedu.com PHP可以直接访问本地服务器路径以及在服务器上执行脚本文件。合理地限制PHP访问范围,可以有效地制止恶意用户对服务器的攻击。 1、文件系统限制 在PHP可以通过配置open_basedir来限制PHP访问文件系统的位置,将PHP执行权限限制在特定目录下。当PHP访问服务器的文件系统时,这个设置的位置将被检查。当访问的文件在目录时,PHP将拒绝访问。 开启open_basedir可以有效地对抗文件包含、目录遍历等攻..
php 接口 防跨,php开发可以防跨请求的几种方法
weixin_42573113的博客
03-11 264
方式1在nginx的php配置或是在包括的includefastcgi.conf文档添加:fastcgi_paramPHP_VALUE”open_basedir=$document_root:/tmp/”;方式2在php.ini配备open_basedir选择项open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/pr...
php 跨站点请求伪造,PHP 跨站请求伪造及防护 (CSRF)【未完成】
最新发布
05-27
跨站点请求伪造(Cross-Site Request Forgery,CSRF)是一种攻击方式,攻击者利用用户在当前已登录网站的身份,通过其他网站或者邮件等方式,以用户不知情的方式盗取用户身份信息,进而实施一些违法操作。PHP是一种常用的Web编程语言,也存在跨站点请求伪造的风险。 PHP跨站请求伪造的攻击方式通常是通过在攻击者自己的网站植入恶意代码,引导用户访问攻击者的网站,进而在用户不知情的情况下发起跨站请求,完成攻击目的。 为了防止PHP跨站请求伪造攻击,可以采取以下措施: 1. 验证HTTP Referer头部信息:在PHP,可以通过检查HTTP Referer头部信息来判断请求是否来自当前网站,如果不是,则拒绝该请求。 2. 随机生成并验证Token:在每个表单加入一个Token,通过随机生成的Token来验证请求的合法性,有效防止跨站请求伪造攻击。 3. 利用Session进行验证:在PHP,可以通过Session来验证用户的身份信息,如果Session验证不通过,则拒绝该请求。 以上措施可以有效防止PHP跨站请求伪造攻击,同时也可以增强Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值