面试时被问到的一些PHP开发安全问题

最新推荐文章于 2024-04-18 05:49:55 发布
最新推荐文章于 2024-04-18 05:49:55 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuhounuanyangzhao/article/details/79403150
版权

安全保护一般性要点

不相信表单:

对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入。


不相信用户:

 要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理。


关闭全局变量:

在php.ini文件中进行以下配置:

register_globals = Off

如果这个配置选项打开之后,会出现很大的安全隐患。例如有一个process.php的脚本文件,会将接收到的数据插入到数据库 

<input name="username" type="text" size="15" maxlength="64">
这样,当提交数据到process.php之后,php会注册一个$username变量,将这个变量数据提交到process.php,同时对于任何POST或GET请求参数,都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题 

if (authenticated_user()) {  
    $authorized = true;  
}
此处,假设authenticated_user函数就是判断$authorized变量的值,如果开启了register_globals配置,那么任何用户都可以发送一个请求,来设置$authorized变量的值为任意值从而就能绕过这个验证。

 所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取,包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等,

其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量,默认的顺序是$_COOKIE、$_POST、$_GET。


SQL注入攻击:

对于操作数据库的SQL语句,需要特别注意安全性,因为用户可能输入特定语句使得原有的SQL语句改变了功能。


春干部
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2019(初级)PHP最全常见面试题集合(附答案)!
蛋叔
03-31 1495
1、常见状态码 1xx (临响应)表示临响应并需要请求者继续执行操作的状态代码。 100 (继续) 请求者应当继续提出请求。 服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。 101 (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。 102 由WebDAV(RFC 2518)扩展的状态码,代表处理将被继续执行。 2xx (成功)表示成功处理了请求的状态代码。 ...
php面试php安全,PHP面试题之——常见的 PHP 安全性攻击
weixin_39666782的博客
03-17 182
SQL注入:用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。防止:使用mysql_real_escape_string()过滤数据手动检查每一数据是否为正确的数据类型使用预处理语句并绑定变量参数化SQL:是指在设计与数据库链接并访问数据,在需要填入数值或数据的地方,使用参数(Parameter)来给值,用@或?来表示参数。XSS攻击:跨站点脚本攻击,由用户输入一些数据到你的网站,其...
PHP 安全问题入门:10 个常见安全问题 + 实例讲解_php 安全性和错误处理
mm627mm的博客
04-18 753
需要澄清的一点是:密码哈希并不是密码加密。MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商。如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。
PHP开发安全问题总结
君逍遥o
04-05 208
PHP开发安全问题总结
使用 PHP 和 MySQL 的安全注册系统
allway2的博客
08-18 691
我们已经在我们的 PHP 脚本中进行了基本验证,但是如果我们想检查电子邮件是否真的是电子邮件,或者用户名和密码是否应该是一定数量的字符长,你可以使用下面的代码来做到这一点,将它们添加到这。如果代码有效,用户的帐户将被激活。函数,这将使用单向算法加密用户的密码 - 如果您的数据库因某种原因变得易受攻击,这将防止您的用户密码被暴露。现在我们需要创建将处理表单字段的注册文件,检查基本验证,并将新帐户插入我们的数据库。变量将生成一个唯一的 ID,我们将用于我们的激活码,这将被发送到用户的电子邮件地址。...
php ctf题,CTF---PHP安全考题
weixin_28736145的博客
03-26 678
1.弱类型比较php中有两种比较的符号 == 与 ===1
php 面试碰到过的问题 在此做下记录
10-28
以下是一些常见的PHP面试问题,以及相关的知识点: 1. **代码优化**: - 代码优化是提高程序性能的关键。在示例中,`array_push()` 和 `$week[] =` 用于向数组添加元素。`array_push()` 是一个函数,而`$week[] =`...
护网面试题总结+DD安全工程师笔试问题
10-14
"护网面试题总结+DD安全工程师笔试问题" 这份资源概括了护网面试题的总结和DD安全工程师笔试问题,涵盖了多个方面的IT知识点。以下是对每个问题的详细解释和知识点总结: 1. JNI 函数在 Java 中函数名为 ...
京东 PHP工程师面试题和答案.doc
最新发布
06-19
文档面向准备应聘大厂PHP开发岗位的求职者,特别是那些希望在技术面试中表现出色,获得大厂职位的候选人。此外,对于想要系统性提升PHP编程和Web开发技能的开发者,以及教育工作者和技术面试官,这份文档同样具有...
阿里巴巴PHP面试题和答案解析.doc
06-19
文档面向准备应聘大厂PHP开发岗位的求职者,特别是那些希望在技术面试中表现出色,获得大厂职位的候选人。此外,对于想要系统性提升PHP编程和Web开发技能的开发者,以及教育工作者和技术面试官,这份文档同样具有...
PHP项目常见的安全问题
倾城一笑stu
08-26 4174
常见安全问题:恶意攻击,暴力破解;Sql注入;Xss攻击。 (1)恶意攻击,暴力破解 Get方式恶意攻击,(dos),通常硬件的方式来防止,防火墙。 Post方式暴力破解,从程序的角度来防止,最通用的方法就是增加验证码。 (2)Sql注入 黑客通过在表单中填入特殊的字符 或者 是 url中增加特殊的字符,然后想数据库发起请求,拼凑出sql语句,达到攻击的目的。 有两种
php 安全方面面试
weixin_30394333的博客
04-07 142
1MySQL数据库作发布系统的存储,一天五万条以上的增量,预计运维三年,怎么优化? a. 设计良好的数据库结构,允许部分数据冗余,尽量避免join查询,提高效率。b. 选择合适的表字段数据类型和存储引擎,适当的添加索引。c. mysql库主从读写分离。d. 找规律分表,减少单表中的数据量提高查询速度。e。添加缓存机制,比如memcached,apc等。f. 不经常改动的页面,生...
PHP开发中的安全问题
weixin_44039145的博客
01-07 430
###XSS攻击 ####原理: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。xss漏洞一般发生于与用户交互的地方。 ####危害: 恶意弹出消息框,影响用户体验 获取用户的cookie或者ajax请求攻击者的服务器窃取...
PHP做在线支付候的注意事项
凌云鹤YK
09-04 464
PHP做在线支付候的注意事项 在开发公众号或者商城的候我们经常要用到的就是支付,目前主要的在线支付接口主要是微信支付和支付宝支付。那么在做支付的候我们要注意那些细节问题呢,以下记录我当前项目遇到的一些注意问题,以后还会继续补充完善,也欢迎大家留言补充。 1,商品可以加入购物车和不能加入购物车(有些商品只能直接购买,比如vip);直接购买给用户的感觉是没有在购物车,但其实还是要加入购物车的,但...
10 个 PHP 常见安全问题(实例讲解)
weixin_42928781的博客
12-10 206
相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。 但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。 此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。 但是,这并不是说你做到这几点以后,就一定能避免你的网站出现任何问题。 如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提...
php和MySql实现注册登录功能需要注意的安全问题 (1)
import totw.Blogs;
06-14 2924
在实现Web的注册登录功能需要注意的安全问题 (1) 本文涉及到的点: - 利用MySQLi或者PDO连接MySQL数据库 - 利用预处理SQL语句(Prepared SQL statements)防范SQL注入 - 利用htmlentities()防范Cross-Site Scripting (XSS)攻击 - 利用MD5对用户密码进行加密 - 利用HTTP headers防范Se...
PHP开发api接口安全验证
热门推荐
li741350149的博客
03-20 3万+
PHP的api接口 在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 示意图 前台 <?php /** * Created by PhpStorm.
PHP 网络安全
weixin_34408624的博客
08-06 1491
2019独角兽企业重金招聘Python工程师标准>>> ...
php面试题7-web 安全
Rodgexue的专栏
04-17 1046
php操作mysql防止sql注入(合集) 1.什么是sql注入 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: unsafevariable=unsafevariable=unsafe_variable = _POST[‘user_input’]; mysqli_query(“INSERT INTO table (column) VALUES (‘” ....
后端开发常见面试php面试题及答案超详细
02-26
在后端开发,尤其是PHP开发领域,面试者通常会被问到一些基础和进阶的问题,以检验他们的技能和理解。以下是对这些面试题的详细解答和扩展: 基础题: 1. 表单中GET与POST提交方法的区别? - GET是通过URL参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值