整理PHP安全性的攻击

最新推荐文章于 2024-07-10 05:10:26 发布
最新推荐文章于 2024-07-10 05:10:26 发布
阅读量588 收藏 10
点赞数 13
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40428902/article/details/135192469
版权

一、防止sql的注入

前端传给后端的字段,在写入数据的时候需要一个数据类型 判断、预处理,

避免出现非正常数据,干扰、或者使数据库存在漏洞,

可以在mysql_real_escape_string() 这个过滤数据,手动检查每一个数据是否为正确数据类型

参数化SQL:是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。

二、XSS攻击:经常在跨站点脚本攻击,一般客户输入的一些数据到网站,其中包括客户端脚本JavaScript。假设没有进行过滤,那就会输出数据到另一个web页面 ,那这个脚本就会被执行

可以使用PHP的htmlentities() 函数,过滤后再输出到浏览器中

三、CSRF:跨站点请求伪造,是指一个页面发出的请求,看起来就像是网站的信任用户,但是是伪造的
防止:一般来说,确保用户来自你的表单,并且匹配每一个你发送出去的表单。有两点一定要记住:

对用户会话采用适当的安全措施,例如:给每一个会话更新id和用户使用SSL。
生成另一个一次性的令牌并将其嵌入表单,保存在会话中(一个会话变量),在提交时检查它。 如laravel中的 _token
代码注入:代码注入是利用计算机漏洞通过处理无效数据造成的。问题出在,当你不小心执行任意代码,通常通过文件包含。写得很糟糕的代码可以允许一个远程文件包含并执行。如许多PHP函数,如require可以包含URL或文件名。
防止代码注入
过滤用户输入
在php.ini中设置禁用allow_url_fopen和allow_url_include。这将禁用require/include/fopen的远程文件

weixin_40428902
关注
  • 13
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
针对PHP 的网站主要存在下面几种攻击方式
09-14
WEB渗透入侵 针对PHP 的网站主要存在下面几种攻击方式
PHP代码审计资料整理
03-04
同时,它也有助于提高开发人员的编程习惯和安全性意识。 3. 代码审计的方法: 代码审计通常包括静态分析和动态分析两个方面。静态分析是在不执行代码的情况下,通过解析源代码来查找潜在问题。这可以通过使用专用的...
针对PHP网站攻击的几种方式
zhou_xiaodong的博客
05-12 1680
针对PHP网站攻击的几种方式 1.命令注入(Command Injection):   是指黑客通过利用HTML代码输入机制缺陷(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。从而可以使用系统命令操作,实现使用远程数据来构造要执行的命令的操作。   PHP中可以使用下列四个函数来执行外部的应用程序或函数:system、exec、passthru、shell_exec 2.eval注入(Eval Injection):   eval函数将输入的字符串参数当作PHP程序代码来执行 防范方
PHP和XSS跨站攻击
Haohappy的专栏
01-17 4167
其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞。今天偶然看到PHP5的一个XSS漏洞,在此小结一下。顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下。如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些)。国内不少论坛都存在跨站脚本漏洞,例如这里  有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3。国外也很多这样的例子,甚
php攻击
xiaonanhaijing的博客
02-11 3401
SYN攻击 SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷, 通过发送大量的半连接请求,耗费CPU和内存资源。 SYN攻击 除了能影响主机外,还可以危害路由器、 防火墙等网络系统,事实上SYN攻击并不管目标是什么系统, 只要这些系统 打开TCP服务就可以实施 ...
6个常见的php安全攻击
Memory1011的博客
10-28 218
转自:http://www.pinlue.com/article/2018/09/2611/447363487527.html
PHP常见攻击以及防御
sinat_18226787的博客
03-12 261
一. XSS(cross site script)恶意攻击者往Web页面里插入恶意html代码 防御: 使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量 二. CSRF(Cross-site request forgery)通过伪装来自受信任用户的请求来利用受信任的网站。 防御:采用类似随即码或者令牌的形式,让用户操作唯一性。 (每次用户登录网...
PHP学习之整理字符串
10-28
PHP编程语言中,字符串处理是一项...它们帮助开发者处理文本数据,确保数据的正确性和安全性,从而编写出更健壮、更安全的代码。在实际项目中,根据具体需求灵活运用这些函数,可以大大提高代码的效率和可维护性。
php面试题整理.docx
06-28
PHP面试中,掌握MySQL相关的知识是至关重要的。...总的来说,PHP面试题涵盖了MySQL优化、数据库管理、PHP基础、安全性和高级特性等多个方面。全面掌握这些知识不仅有助于面试,更能提升日常开发中的问题解决能力。
PHP+MySQL安全方案整理.rar
09-16
一、PHP安全实践 1. 输入验证:所有用户输入都应被视为不可信的。使用PHP的filter_var函数或正则表达式进行数据验证,以防止SQL注入、跨站脚本(XSS)攻击等。 2. 预备语句(Prepared Statements):在执行SQL查询...
Web攻防系列教程之浅析PHP命令注入攻击
05-27
Web攻防系列教程之浅析PHP命令注入攻击
PHP特性(网友整理1)1
08-03
`mt_rand()`是PHP中的随机数生成函数,如果在安全性相关的场景中使用不当,可能会被利用进行预测或重播攻击。 3. PHP复杂变量`${}` `$`符号后跟一对花括号可以访问变量变量,即变量的变量。这种用法可能导致意外的...
PHP常见的攻击 PaperGPT
最新发布
a159900的博客
07-10 300
为了防范这种攻击,我们需要对用户输入进行严格的检查,并使用参数化查询或预处理语句来确保用户输入的数据被当作普通的数据处理,而不是可执行的代码。为了防范XSS攻击,我们需要对用户输入进行适当的过滤和转义,确保输出的数据不会被浏览器解析为可执行的脚本。这种攻击方式利用了PHP中的文件包含功能,当被包含的文件路径可控时,攻击者就可以利用此漏洞执行任意代码。总的来说,PHP常见的攻击类型多种多样,但只要我们保持警惕并采取相应的防范措施,就能够有效地降低安全风险。总而言之,就像任何技术一样,它也有其脆弱性。
常见的php攻击(6种攻击详解)
JoeyBlog
12-02 9145
1、SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 [python] view plain copy $username = $_POST['username'];  $query = "sele
常见的 PHP 安全性攻击
php小白的奔牛历程
10-25 247
常见的 PHP 安全性攻击 SQL注入:用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。 防止: 使用mysql_real_escape_string()过滤数据 手动检查每一数据是否为正确的数据类型 使用预处理语句并绑定变量 参数化SQL:是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。 XSS攻...
PHP程序常见漏洞攻击
Dean's Document Center
07-19 1106
  [全局变量] PHP中的变量不需要事先声明,它们会在第一次使用时自动创建,它们的类型也不需要指定,它们会根据上下文环境自动确定。从程序员的角度来看,这无疑是一种极其方便的处理方法。很显然,这也是快速开发语言的一个很有用的特点。一旦一个变量被创建了,就可以在程序中的任何地方使用。这个特点导致的结果就是程序员很少初始化变量,毕竟,当它们第一次创建时,他们是空的。 很显然,基于PHP的应用程序的主
PHP的网站常见的攻击方式
netuser1937的博客
12-13 1604
PHP的网站常见的攻击方式
6个常见的 PHP 安全性攻击
weixin_39709920的博客
02-10 539
1. 不要依赖服务器配置来保护你的应用,特别是当你的web服务器/ PHP是由你的ISP管理,或者当你的网站可能迁移/部署到别处,未来再从别处迁移/部署在到其他地方。这是与会话固定有着同样的想法,然而,它涉及窃取会话ID。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。CSRF攻击,是指一个页面发出的请求,看起来就像是网站的信任用户,但不是故意的。在上面的例子中,通过传递用户输入的一个文件名或文件名的一部分,来包含以"http://"开头的文件。
PHP入门到精通:韩顺平笔记整理
此外,还要关注PHP的安全实践,如防止SQL注入、XSS攻击等,确保应用程序的安全性。 从PHP入门到精通,需要系统地学习HTML和PHP的基础,掌握动态网页技术的应用,熟悉PHP的各种特性和最佳实践,以及不断跟踪PHP的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值