编程安全
文章平均质量分 75
AirGo.
[WHY]每一个你不满意的当下,都有一个你不曾努力的过去。
展开
-
PHP的弱数据类型安全
弱类型比较缺陷 若类型,即在变量在使用过程中无需进行类型声明,数据类型根据代码执行情况可以动态变换(区别强类型指得是每个变量和对象都必须具有声明类型,它们是在编译时就确定了类型都数据,在执行时不能更改)。 由于PHP的若数据类型特性,使得PHP易学和易用,但正是由于这一点,在使用双等号‘==’和某些函数时,会造成一定的安全隐患。比如下面例子: <?php var_dump(...原创 2020-03-08 18:58:02 · 276 阅读 · 0 评论 -
关于PHP生产环境的安全配置
;关闭错误显示 display_errors = Off ;配置错误日志 error_log = /var/log/php/error.log ;隐藏PHP版本号 expose_php = Off ;关闭自动注册全局变量(5.6以后已移除) register_globals = Off ;限定PHP访问路径 open_basedir = /home/web/php/ ;禁用远程URL...原创 2020-03-08 17:09:26 · 570 阅读 · 0 评论 -
浏览器跨域安全和PHP处理
浏览器同源策略 如果两个URL的域名和端口都相同,则表示它们同源。在非同源的情况下,从一个域上加载的脚本(js),是不允许访问另外一个非同源域中的文档的。 跨域资源共享 跨域资源共享,是浏览器的一种机制,允许应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。header中定义的CORS,定义浏览器与服务器进行交互,以确定是否允许跨域请求的方法。 //表示对所示域名提供跨域权限,...原创 2020-03-08 16:51:39 · 265 阅读 · 0 评论 -
PHP文件上传安全
文件上传漏洞等危害 攻击者上传shell脚本,借助脚本控制服务器,随意执行命令。 漏洞举例 <?php $dir = 'uploads/'; $file = $dir . basename($_FILES['file']['name']); move_upload_file( $_FILE['file']['tmp_name'], $file); 如果攻击...原创 2020-03-08 15:39:14 · 898 阅读 · 0 评论 -
SSRF 服务器请求伪造攻击和 CSRF 跨站请求伪造
概念 攻击者利用某服务器请求来获取内网或外网系统权限,暴力请求获取服务器端口开发情况等。 攻击流程 攻击者构造请求 服务器根据攻击者构造的请求对内网服务器进行请求 内网服务将请求反馈给服务器 服务器将获取到的内网资源返回给攻击者 危害 使服务器资源泄漏,内网服务任意扫描泄漏内网信息。 容易引起SSRF的函数 file_get_contents从用户指定的URL获取文件,如果用户传.........原创 2020-03-01 21:37:08 · 560 阅读 · 0 评论