PHP开发中的安全问题

最新推荐文章于 2024-04-18 05:49:55 发布
最新推荐文章于 2024-04-18 05:49:55 发布
阅读量430 收藏 1
点赞数
文章标签: php 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44039145/article/details/86028804
版权

作者:

XSS攻击

原理:

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。xss漏洞一般发生于与用户交互的地方。

危害:
  • 恶意弹出消息框,影响用户体验
  • 获取用户的cookie或者ajax请求攻击者的服务器窃取用户信息
  • 可以使用ajax不断调用被攻击网站的某个接口,严重的可能导致带宽被打满无法正常处理用户的请求,除此之外也可以通过调用被攻击网站的某个接口来实现一些个人利益比如在社交网站伪造数据提高影响力等。
预防办法:
  • 参数验证,只接受用户输入我们期待的值
  • 使用htmlspecialchars函数将用户输入的HTML标签实体化

CSRF攻击

原理:

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,就是冒充用户发请求。比如:灌水机器人等。

危害:
  • 服务器处理大量虚假的请求数据库储存过多垃圾信息影响服务器处理正常请求的性能
预防办法:
  • 暂时的方法:分析日志找到发送请求的ip,禁止访问;
  • 验证码:设置机器难以识别的验证码,比如掺杂中文的验证码,拖动的验证码等;
  • 设置token验证,基本原理是通过比较隐藏的表单传过来的用户发出请求的时间与收到请求时的时间比较,允许一定范围的延时,防止被破解可以加入秘钥和随机字符串。(time()->md5(秘钥).time()->rand.substr(md5(rand秘钥),0,10).time())

SQL注入

原理:

SQL Injection:是一种利用未过滤/未审核用户输入的攻击方法,通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

例子:

SQL注入一般是利用‘’或者“”拼接SQL语句或者–注释掉原有的SQL语句,减少查询的条件获取更多信息或者尝试猜测表名,一旦知道表名就可以对表做增删改查等各种操作。下面是几个常见的SQL注入的例子:

1)将查询的where条件变成恒真,
正常的SQL查询语句(xxx为用户要输入的内容):

SELECT fieldlist FROM table WHERE fieldname='xxx';

如果输入 xxx’ or ‘1’='1,SQL语句就变成了

 SELECT fieldlist FROM table WHERE fieldname='xxx' or '1'='1';

这样的话where条件就不起作用了。

2)猜字段名(–注释掉后面的内容)

SELECT fieldlist FROM table WHERE fieldname = 'xxx' AND userid IS NULL; --';  
SELECT fieldlist FROM table WHERE fieldname = 'xxx' AND email IS NULL; --'; 
SELECT fieldlist FROM table WHERE fieldname = 'xxx' AND password IS NULL; --'; 
SELECT fieldlist FROM table WHERE fieldname = 'xxx' AND loginid IS NULL; --';

上面的语句如果正常执行的话,就说明我们猜测的字段名字是正确的,否则说明猜错了,继续猜。

3)跟上面同样的道理,利用子查询猜测表名:

SELECT fieldlist FROM table WHERE fieldname = 'xxx' AND 1=(SELECT COUNT(*) FROM tabname); --';

根据经验推断表名,进行尝试,我们并不关心表里面有多少条记录而是判断当前的表名是不是我们猜测的这个。

4)除了对表进行增删改查以外实际上还可修改数据库

SELECT fieldlist FROM table WHERE fieldname = 'xxx'; DROP TABLE members; --';

利用 ; 结束上一条语句,在–注释掉后面的语句执行单行多条语句,可能会恶意修改数据库或者更新某个字段的内容。

危害:
  • 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
  • 网页篡改:通过操作数据库对特定网页进行篡改。
  • 网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
  • 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
  • 服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
  • 破坏硬盘数据,瘫痪全系统。
预防办法:
  • 参数绑定,预处理。
  • 一定要接SQL语句抛出的异常,否则容易泄露表名、字段名、数据库服务器等信息
weixin_44039145
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【什么是三范式?它有什么用?】
学无止境
03-07 759
【什么是三范式?它有什么用?】
PHP开发需要注意的安全问题
10-28
php开发过程,需要注意的安全细节,其实不只是php其它语言通用。
【DataBase】数据库三范式【看了就有收获,最简单的例子解释】
m0_64210833的博客
05-04 1万+
第二范式(2NF):消除了非主属性对于码【主属性的集合】的部分函数依赖(简单来说:表的非主属性【姓名】必须完全依赖于主属性【学号】) 名词解释; 码(候选码):就是主属性的集合。 有了码就可以获取到码对应的其他属性【id【主属性】确定--就可以确定 姓名 系名和系主任 (非主属性)。课名【主属性】可以获取分数【非主属性】】 主属性:码里面的属性就是主属性,包括id,课名。 非主属性:不是主属性的就是非主属性,包括姓名和系名和系班主任,分数。 函数依赖:函数y=f(x)代表给定一个x值,y的值也是确
数据库三范式简单理解------阿冬专栏
阿冬专栏
08-24 4648
数据库设计当三范式是经常遇到的,如果实际项目数据库设计能达到第三范式基本也就满足要求了,那么如何快速有效的理解三个范式,同时应用于实际项目去呢? 首先看看标准定义的三个范式: 第一范式(1NF) 所谓第一范式(1NF)是指数据库表的每一列都是不可分割的基本数据项,同一列不能有多个值,即实体的某个属性不能有多个值或者不能有重复的属性。如果出现重复的属性,就可能需要定义一个
PHP 安全问题入门:10 个常见安全问题 + 实例讲解_php 安全性和错误处理
最新发布
mm627mm的博客
04-18 753
需要澄清的一点是:密码哈希并不是密码加密。MITM (间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络,也有可能发生在其他流量通过的地方,例如ISP运营商。如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹加载,以免被包含任何非模板文件。
数据库三范式理解
热门推荐
weixin_41768263的博客
03-19 2万+
一般来说的数据库三范式都是指的关系型数据库,范式指的就是规范的意思,三范式指的就是利用关系型数据库进行建表时候普遍需要遵循的三个规范(即1NF,2NF,3NF); 1NF:建表时要保证列的原子性(即不可分割性);打个比方:电话这个字段有可能是座机,也有可能是手机,具有可分割性,所以不符合1NF;应该改成:这样就符合列的不可分割性,即第一范式; 2NF:第二范式(2NF)是在第一范式(1NF)的...
不谈具体的代码,php站点安全防护心得
YeJinYang的博客
01-26 423
不谈具体的代码,php站点安全防护心得 首先,php本身有漏洞不在这篇文章的讨论范围之内,具体问题自行解决,这里要说的,是假如代码就是有漏洞,但是漏洞又找不到的情况下,如何去做。此文章仅针对小站点,大站点请忽略。 常见的漏洞有两个,一个是通过XSS进入了后台,一个是上传木马。 实验环境 centos7 php7.1 nginx 防御XSS: 后台一般都有个后台目录,给该目录加上目录保护(浏览器打开目录,会提示输入账号密码),这样即便被拿到了后台的cookie和地址,也进入不了。下面是通过宝塔面板的
基于PHP开发安全防范知识详解
10-27
PHP开发过程,确保应用程序的安全性至关重要。这篇文章主要讲解了几个关键的安全防范措施,包括防止XSS跨站脚本攻击、SQL注入、用户输入处理、文件上传、Session和Cookie的安全管理,以及使用安全检测工具。 ...
分享十款最出色的PHP安全开发文详细介绍
10-24
PHP开发安全是至关重要的,尤其是对于处理用户输入和敏感数据的Web应用程序。以下是对十款最出色的PHP安全开发库的详细解释: 1. PHP IDS (PHP入侵检测系统) PHP IDS 是一个强大的安全层,用于检测针对PHP ...
针对PHP开发安全问题的相关总结
10-17
今天小编就为大家分享一篇关于针对PHP开发安全问题的相关总结,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
PHP项目常见的安全问题
倾城一笑stu
08-26 4174
常见安全问题:恶意攻击,暴力破解;Sql注入;Xss攻击。 (1)恶意攻击,暴力破解 Get方式恶意攻击,(dos),通常硬件的方式来防止,防火墙。 Post方式暴力破解,从程序的角度来防止,最通用的方法就是增加验证码。 (2)Sql注入 黑客通过在表单填入特殊的字符 或者 是 url增加特殊的字符,然后想数据库发起请求,拼凑出sql语句,达到攻击的目的。 有两种
PHP程序员最常犯的11个MySQL错误
weixin_30648963的博客
05-15 129
对于大多数web应用来说,数据库都是一个十分基础性的部分。如果你在使用PHP,那么你很可能也在使用MySQL—LAMP系列举足轻重的一份子。对于很多新手们来说,使用PHP可以在短短几个小时之内轻松地写出具有特定功能的代码。但是,构建一个稳定可靠的数据库却需要花上一些时日和相关技能。下面列举了我曾经犯过的最严重的11个MySQL相关的错误(有些同样也反映在其他语言/数据库的使用上)。。。...
你的 PHP/Laravel 网站是否足够安全
Eric
02-24 2444
你的 PHP/Laravel 网站是否足够安全? 1. SQL 注入或许这是最知名的漏洞. 从根本上来说, 他允许网站攻击者注入 SQL 到你的代码. 如果你的代码就想这样:$post_id = $_POST['post_id'];$sql = "DELETE FROM posts WHERE user_id = 1 AND id = $post_id";\DB::statement($sql)...
PHP安全问题汇总
Qimi 的博客
09-17 285
PHP安全问题汇总1-XSS2-SQL注入3-CSRF3-1 CSRF攻击攻击原理及过程如下:3-2 防御CSRF攻击4-CC攻击4-1 CC攻击的原理4-2 CC攻击的种类4-3 CC攻击与DDOS的区别5-DOS攻击6-DDOS攻击 1-XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 来源
php web安全,PHPWeb安全
weixin_30995661的博客
03-10 137
前沿今天我们来讨论讨论web安全方面的知识,比如我们熟知的XSS攻击,和SQL注入。接下来我们以PHP语言来演示这两个漏洞。XSS攻击定义:什么是XSS. Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。 利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危...
PHP双等于缺陷引发的安全问题
无鋒's Blog
11-09 544
导言: 昨晚一哥们问渗透面试题目有什么经典的,因为前段时间看了法师的书,我对==和===号记忆很深刻,特别留意了下,就给他说了下在php==和===的问题。看他不太理解,我也正好写下这篇文章来总结下学习历程。
php开发安全规范,【安全开发PHP安全编码规范
weixin_35775608的博客
03-18 155
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-2-php%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8C...
php关于网站安全的一些注意事项
otorain的博客
12-29 692
上传文件时,不要相信浏览器提供的文件名, 对文件名进行判断,过滤或hash 不要将网站文件放在网站根目录下,放在系统的其他目录下 对请求的数据进行过滤 对请求的数据进行转义,使用html实体转义函数 htmlentities($content, ENT_QUOTES, ‘UTF-8’) ,这样可以防止xss攻击,具体xss攻击请查自行google或百度 使用PDO连接数据库并使用预编译绑定参数的
php开发过程处理过哪些问题
06-11
PHP 开发过程,可能会遇到以下一些问题: 1. 安全问题PHP 网站容易受到 SQL 注入、XSS、CSRF 等攻击,需要进行相关防范措施。 2. 性能问题PHP 代码执行效率较低,需要优化代码、缓存数据等来提升性能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值