PHP项目常见的安全问题

最新推荐文章于 2024-04-03 21:00:44 发布
最新推荐文章于 2024-04-03 21:00:44 发布
阅读量4.1k 收藏 12
点赞数 3
分类专栏: PHP 文章标签: 项目安全 sql注入 黑客 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zls986992484/article/details/52330353
版权

常见安全问题:恶意攻击,暴力破解;Sql注入;Xss攻击。

(1)恶意攻击,暴力破解

Get方式恶意攻击,(dos),通常硬件的方式来防止,防火墙。

Post方式暴力破解,从程序的角度来防止,最通用的方法就是增加验证码。

(2)Sql注入

黑客通过在表单中填入特殊的字符或者 url中增加特殊的字符,然后想数据库发起请求,拼凑出sql语句,达到攻击的目的。

有两种形式:Post表单提交;Get,url传参。

a.表单提交-万能密码   xxx' or '1




password = '$password'=>Password = ‘ xxx' or ‘1 ‘

如何防范万能密码呢?最简单的方式,就是给密码加密。加密的方式有很多,比如md5,sha1。  $password=md5($password)。

或者用addslashes()和mysql_real_escape_string()等转义函数进行转义,一般addslashes()和mysql_real_escape_string()更常用。


万能用户名



如何防止万能用户名?不要加密,不可取。不管是万能用户名  万能密码, 他们都利用了 一个 特殊字符-------单引号,让你的单引号失去本身的意义。

单引号转义,使用addslashes函数。

 

通过上面的分析,我们得出一个结论:凡是是用户提交的信息,都是不能相信的,都需要进行处理,其中之一就是转义。也就意味着在所有的 收集表单信息的地方,都要调用 addslashes函数。有没有更好的办法来处理呢?-------批量处理。

可以自定义有一个函数,用于批量转义。

要处理的数据的表现形式有以下几种:(1)单一变量(2)一维数组(3)二维数组(多维)综合成两种情况:单一变量和数组。定义如下:

//批量转义
function deepslashes($data){
	//判断$data的表现形式,并且需要处理空的情况
	if (empty($data)){
		return $data;
	}
	//中高级程序员的写法
	return is_array($data) ? array_map('deepslashes', $data) : addslashes($data) ;
	/*
	//初级程序员的写法
	if (is_array($data)){
		//数组,对其进行遍历
		foreach ($data as $v){
			return deepslashes($v);
		}
	} else {
		//单一变量
		return addslashes($data);
	}
	*/
}

遍历某个数组,然后对数组中的每个元素,做了一个操作。Php提供了一个函数 array_map,可以完成这个功能。



b.Get提交方式的攻击,Url 传递参数,然后在程序中接受参数,并构造sql语句


最终的sql语句,delete from cz_category where cat_id = 1,在后面追加一个字符 or 1,

delete from cz_category where cat_id = 1 or 1

灾难性的结果就出现了,全删除了。

所以,在接受get传参的时候,也需要处理一下,通常就是传递id的时候。处理方法很简单,只需要将参数转成整型即可。 1 or 1 -----> 1

有哪些方式:强制转换,使用函数intval 或者 数据类型的 关键字 int; 隐式转换,通过运算,只需要 +0即可。

(3).Xss攻击

Xss: cross site script 跨站脚本攻击

Css 被占用,表示样式表

恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

 

再次浏览分类的时候,会弹出如下提示:


如何防止呢?找出xss攻击的本质,通过 标签(一对尖括号)来达到攻击的目的,所以我们只需要将尖括号 进行 转义,这就是php中提到的 实体转义。

Htmlspecialchars函数 和  htmlentites函数

'&' (ampersand) becomes '&'

'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.

"'" (single quote) becomes ''' only when ENT_QUOTES is set.

'<' (less than) becomes '<'

'>' (greater than) becomes '>'

实体,比如我们写的    ©

所有有表单输入的地方,都需要进行实体转义。定义一个辅助函数完成该功能

//批量实体转义
function deepspecialchars($data){
	if (empty($data)){
		return $data;
	}
	return is_array($data) ? array_map('deepspecialchars', $data) : htmlspecialchars($data);
}


结论:只要是用户的输入,都需要经过 引号转义 实体转义。所以我们得进行双重验证。

//批量转义
function deepslashes($data){
	//判断$data的表现形式,并且需要处理空的情况
	if (empty($data)){
		return $data;
	}
	//中高级程序员的写法
	return is_array($data) ? array_map('deepslashes', $data) : addslashes($data) ;
}

//批量实体转义
function deepspecialchars($data){
	if (empty($data)){
		return $data;
	}
	return is_array($data) ? array_map('deepspecialchars', $data) : htmlspecialchars($data);
}


项目日志:有的时候,和数据库相关的一些操作,sql语句并没有出错,但是结果不对。如何排除这个错误:需要打印sql语句,然后将sql放到 cmdphpmyadmin)中执行。

如果每次都要打印,是很麻烦的一件事情。有一个简单有效的办法,就是将sql语句以日志的形式记录下来,便于查看。

//生成日志
function query($sql){
//还可以加一个开关来开启/关闭 sql日志
//以追加的方式来保存
	$temp = "[" . date('Y-m-d H:i:s') ."] " . $sql . PHP_EOL;
	file_put_contents("log.txt", $temp,FILE_APPEND);
}

日志结果如下:





 




倾城一笑stu
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP开发安全问题总结
君逍遥o
04-05 208
PHP开发安全问题总结
PHP开发中的安全问题
weixin_44039145的博客
01-07 430
###XSS攻击 ####原理: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。xss漏洞一般发生于与用户交互的地方。 ####危害: 恶意弹出消息框,影响用户体验 获取用户的cookie或者ajax请求攻击者的服务器窃取...
PHP开发安全问题之各种功能限制,这可能是目前最全的
最新发布
2301_79099607的博客
04-03 699
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;roid移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**如果开启就有可能包含远程文件。
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
PHP常见漏洞的防范措施
大鹏
12-18 1970
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
面试时被问到的一些PHP开发安全问题
不和贪婪的人相对 不为薄情寡义的人流泪 这世界嘲笑我的人很多 你只是其中一个 不为岁月流逝蹉跎 不随潮流的是否去附和
02-28 1390
安全保护一般性要点 不相信表单: 对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入。 不相信用户:  要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理。
php上传文件问题汇总
10-24
PHP中,上传文件是一项常见的任务,涉及到网页表单、HTTP协议和服务器端处理等多个环节。以下是对PHP上传文件问题的详细说明: 1. **基本的文件上传表单**: 在HTML中,创建一个用于文件上传的表单通常包含`...
PHP 项目-VulApps.zip
08-27
用于快速搭建各种漏洞环境,可用来学习、理解常见的漏洞,增强自己在开发过程的安全意识
PHP常见安全漏洞攻防研究.pdf
10-19
然而,PHP的易用性也带来了安全隐患,尤其是在开发过程中忽视安全问题时,可能会引发多种安全漏洞。 1. **代码注入漏洞** 代码注入是指攻击者通过输入恶意代码到Web应用程序,使服务器执行非预期的操作。PHP中,...
分享十款最出色的PHP安全开发库中文详细介绍
10-24
Sensiolabs 的安全检查工具是一个便捷的解决方案,用于检测PHP项目的潜在安全漏洞。只需上传`.lock`文件,它就能自动分析并报告任何问题,帮助开发者预防安全威胁。 9. PHP Login Project PHP Login Project 是一个...
php数据库安全维护
04-14
其次,**特殊字符攻击**是另一种常见安全问题,特别是在包含文件时。如13.1.2章节所示,不正确的文件包含可能导致恶意代码执行。为了避免这种情况,应始终确保文件路径的合法性,并使用安全的函数如`realpath()`来...
PHP漏洞全解(一)-PHP网站安全问题
稻草人技术博客
12-11 2548
命令注入攻击PHP中可以使用下列5个函数来执行外部的应用程序或函数system、exec、passthru、shell_exec、“(与shell_exec功能相同)函数原型string system(string command, int &return_var)command 要执行的命令return_var 存放执行命令的执行后的状态值string exec (string command,
php和MySql实现注册登录功能时需要注意的安全问题 (1)
import totw.Blogs;
06-14 2924
在实现Web的注册登录功能时需要注意的安全问题 (1) 本文涉及到的点: - 利用MySQLi或者PDO连接MySQL数据库 - 利用预处理SQL语句(Prepared SQL statements)防范SQL注入 - 利用htmlentities()防范Cross-Site Scripting (XSS)攻击 - 利用MD5对用户密码进行加密 - 利用HTTP headers防范Se...
PHP漏洞全解(一)-PHP网站安全问题
老鹰之歌的学习笔记
09-21 1327
本文主要介绍针对PHP网站常见的攻击方式,包括常见sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。 针对PHP网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户
PHP项目中,记录错误日志
热门推荐
迟迟 CSDN
07-06 2万+
一、场景介绍:环境:LNMP我们通常是通过nginx的错误日志来分析分错的,也就是我们在各个server中定义的error_log。比如下面这样,就是将错误日志定义在/etc/nginx/logs/error/www.xiaobudiu.top.log,发生错误,可以查看的对应错误日志文件即可。server { listen 80 default_server; ser...
php处理安全问题,PHP漏洞全解(一)-PHP网站安全问题
weixin_36481760的博客
03-19 452
本文主要介绍针对PHP网站常见的攻击方式,包括常见sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站...
PHP项目发现并处理的问题
不知火猪
08-28 1830
最近在做项目,在项目过程中遇到许多的问题,记录下,以便以后查阅问题一:在本机插网线的本地测试环境下面,测试发送邮件找回密码的功能一切正常,切换到另外一个wifi网络环境下面的不正常了,刚开始不知道是什么原因,后来在测试中发现,报错: 不能识别邮件主机地址;后来才知道原来是DNS的原因,解决办法: 重启Apache之后就能发送邮件了!问题二: 发送短信验证码: 同样是DNS的问题,不过现在还没
你的 PHP/Laravel 网站是否足够安全
Eric
02-24 2444
你的 PHP/Laravel 网站是否足够安全? 1. SQL 注入或许这是最知名的漏洞. 从根本上来说, 他允许网站攻击者注入 SQL 到你的代码中. 如果你的代码就想这样:$post_id = $_POST['post_id'];$sql = "DELETE FROM posts WHERE user_id = 1 AND id = $post_id";\DB::statement($sql)...
PHP项目开发遇到的问题以及解决方法
06-07
PHP项目开发中,常见问题和解决方法包括以下几点: 1. 数据库连接问题:在连接数据库时,可能会遇到连接失败、连接超时等问题。解决方法是检查数据库连接信息是否正确、数据库是否正常运行,可以增加重连机制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值