中国IT职业教育领先品牌
精品课程 全程面授
PHP六大安全漏洞及防范措施分析
在编程开发中,绝对安全的编程语言并不存在,PHP是当前最流行的Web应用编程语言当然也不能例外。目前PHP存在着六个很危险的安全漏洞,如何选择将PHP编程安全隐患降至最低是编程人员应该思考的问题。今天小编就来说一下PHP六大安全漏洞及防范措施。
PHP六大安全漏洞 1、SQL注入
SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 2、XSS攻击
千锋教育www.qfedu.com
中国IT职业教育领先品牌
精品课程 全程面授
XSS(跨站点脚本攻击)是一种攻击,由用户输入一些数据到你的网站,其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面,这个脚本将被执行。 3、会话固定
PHP可以接受一个会话ID通过一个Cookie或者URL。因此,欺骗一个受害者可以使用一个特定的(或其他的)会话ID 或者钓鱼攻击。 4、会议捕获和劫持
这是与会话固定有着同样的想法,然而,它涉及窃取会话ID。如果会话ID存储在Cookie中,攻击者可以通过XSS和JavaScript窃取。如果会话ID包含在URL上,也可以通过嗅探或者从代理服务器那获得。 5、跨站点请求伪造(CSRF)
CSRF攻击,是指一个页面发出的请求,看起来就像是网站的信任用户,但不是故意的。它有许多的变体,比如下面的例子: 6、代码注入
代码注入是利用计算机漏洞通过处理无效数据造成的。问题出在,当你不小心执行任意代码,通常通过文件包含。写得很糟糕的代码可以允许一个远程文件包含并执行。
如何进行PHP安全漏洞防范
千锋教育www.qfedu.com
中国IT职业教育领先品牌
精品课程 全程面授
1、过滤输入
过滤输入是指将来自外部数据中不安全的字符转义或删除。在数据到达存储层(MySQL或Redis)前一定要过滤输入的数据,这是第一道防线。 2、验证数据
验证数据不会从输入数据中删除信息,而是只确认输入数据是否符合预期,比如输入的数据是否是Email邮箱、手机号码、数字等等。这种数据我们或叫做无效数据,我们验证这种无效数据,并阻止其进入数据存储层,并适当的提示用户错误的输入信息。
最后,说明下,黑客都是通过使用工具或非正常手段,绕过我们的前端验证,构建危险数据进行WEB渗透,所以我们代码开发时,尤其是后端开发,安全是我们的首要任务。
千锋教育www.qfedu.com
PHP六大安全漏洞及防范措施分析
