PHP安全技术之 实现php基本安全
1.不要依赖注册全局变量功能(register_globals)
注册全局变量的出现曾经让PHP变得非常易用,但也降低了安全性(方便之处经常会破坏安全性)。建议在编程时把register_globals指令关闭,在PHP6中这个功能也会被取消。
2.在使用变量之前对其进行初始化。
如果register_globals功能是启动的,即使程序员不使用它,恶意用户也可能利用为初始化变量的漏洞来侵入我们的系统。比如:
if(conditon){
$auth=TRUE;
}
如果变量$auth没有在这段之前被初始化为FALSE,那么用户就可以向脚本传递$_GET[‘auth']、$_POST[‘auth']或$_COOKIE[‘auth']轻易的实现验证。
3.检验和净化全部输入数据。
4.在利用变量引用包含文件时要小心。
如果脚本中有这样的代码:
require($page);
那么就应该确保$page不会来自外部资源(比如$_GET),或者,如果它的确来自于外部资源,那么就要确保它包含适当的值。
5.在使用任何服务器上执行命令的函数都要多加小心。
这些函数包括eval()、exec()、system()、passthru()、popen()和反撇号(``)。这些函数都能够在服务器上执行命令,永远都不要随意使用。如果在命令里不得不包含便来那个,就应该对这个变量进行彻底的安全检查。还应该使用escapeshellarg() escapeshellcom()进行额外的预处理。
6.更改默认的会话目录,或者使用数据库保存会话数据。
7.不要使用浏览器提供的文件名在服务器上保存上传的文件。
8.如果被提交的数据需要在web页面中重新显示,一定要注意其中的HTML,更重要的是JAVASCRIPT
可以利用函数
string htmlspecialchars ( string string [, int quote_style [, string charset]])
对提交的数据进行处理
9。不要在站点上暴露你的PHP错误信息
PHP错误信息能够在你开发的过程中把错误信息输出方便你的检查,但是如果暴露在Web上面,很可以成为攻击者的入口。
10.防止SQL注入攻击。
应该使用特定语言的数据库转义函数,比如mysqli_real_escape_data(),确保提交的内容不会破坏查询操作。
11.永远不要在服务器上保存phpinfo()脚本。
相关推荐
-
有效防止ASP木马上传运行—小知识[网络安全技术]
一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一 前使用IIS服务器的站长很多,特别是对于ASP网站来说,防止ASP木马成了网站安全最关键的内容. 一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一定程度上有效防止ASP木马的入侵 一.使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scr
-
安全技术—RSA公钥密码体制安全性分析
引言 RSA密码系统是较早提出的一种公开钥密码系统.1978年,美国麻省理工学院(MIT)的Rivest,Shamir和Adleman在题为<获得数字签名和公开钥密码系统的方法>的论文中提出了基于数论的非对称(公开钥)密码体制,称为RSA密码体制.RSA是建立在"大整数的素因子分解是困难问题"基础上的,是一种分组密码体制. 介绍公钥密码体制(背景) 1.对称密码体制 对称密码体制是一种传统密码体制,也称为私钥密码体制.在对称加密系统中,加密和解密采用相同的密
-
PHP安全技术之 实现php基本安全
1.不要依赖注册全局变量功能(register_globals) 注册全局变量的出现曾经让PHP变得非常易用,但也降低了安全性(方便之处经常会破坏安全性).建议在编程时把register_globals指令关闭,在PHP6中这个功能也会被取消. 2.在使用变量之前对其进行初始化. 如果register_globals功能是启动的,即使程序员不使用它,恶意用户也可能利用为初始化变量的漏洞来侵入我们的系统.比如: if(conditon){ $auth=TRUE; } 如果变量$auth没有在这段之
-
安全技术不是万能药 人也是重要一环
Howard A. Schmidt 在6月6日加入即时消息管理软件公司IMlogic的顾问组.Schmidt的安全经验包括了总统关键基础设施保护委员会的主席和副主席.eBay的VP以及首席信息安全官和首席安全策略师,另外还担任过微软的首席安全官.他对记者讲述了自己关于电脑安全的意见. 记者:计算机安全正在好转还是越来越差呢? SCHMIDT:这个问题非常有趣."我们正在不断改善"可能是最正确的答案.但是我需要指出,不是故意破坏的家伙让我们的日子好过,而是我们对于安全更为重视,采取了更多
-
hta作品笨狼CSDN爬虫
<html> <head> <title>笨狼CSDN爬虫</title> <style> body { font-size:12; margin:20; background-color:#eeeeee; } div { font-size:12; border:1 solid navy; margin-left:20; } input.num { width:20; ov
-
RBAC权限模型_动力节点Java学院整理
权限系统与RBAC模型概述 RBAC(Role-Based Access Control )基于角色的访问控制. 在20世纪90年代期间,大量的专家学者和专门研究单位对RBAC的概念进行了深入研究,先后提出了许多类型的RBAC模型,其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有系统性,得到普遍的公认. RBAC认为权限的过程可以抽象概括为:判断[Who是否可以对What进行How的访问操作(Operator)]这个逻辑表达式的值是否为True的求
-
网站服务器安全需要注意三方面的问题
但是作为网络的核心产品,服务器技术相对复杂,尤其是在病毒肆虐的网络时代,安全问题显得更加突出.现在就提供一些实际工作中总结出的经验,希望能和大家共享,以确保网站服务器的安全. 一.增强网络整体安全 很多网管往往在维护网络安全方面存在这样的误区,认为只要将服务器单机打好补丁,安装好防护墙.操作系统定期升级就可以安枕无忧了.可实际上,很多黑客和病毒并非直接攻击服务器,而是通过入侵其他计算机作为跳板来攻击整个网络的.目前很多网络都是通过域的方式来管理,一旦黑客或病毒成功入侵与服务器有信任关系的一台计算
-
全面解析网络安全新威胁 “网络钓鱼”式攻击
什么是网络钓鱼? 网络钓鱼(Phishing)一词,是"Fishing"和"Phone"的综合体,由于黑客始祖起初是以电话作案,所以用"Ph"来取代"F",创造了"Phishing". "网络钓鱼"攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号.账户用户名.口令和社保编号等内容.诈骗者通常会将自己伪装成知名银行.在线零售商和信用卡公司
-
角逐网络江湖—黑客兵器谱排名
纵横于黑客江湖,没几件称心兵器怎能立足?本栏目将不定期刊出黑客常用的重量级兵器,希望对读者朋友了解.学习网络安全技术有所指导. No.1 懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事. 兵器名称:X-Scan 杀伤指数:★★★★☆ 独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式.扫描内容包括:远程服务类型.操作系统类型及版本,各种弱口令漏洞.后门.应用服务漏洞.网络设备漏洞.拒绝服务漏洞等二十几个大类,支持在线升级,是国内
-
逐一侦破网上银行安全漏洞
当我们还没来得及感叹网上银行的快捷与便利,病毒与黑客的不断得逞就已经把许多用户吓了好一哆嗦.难道说享受便捷的生活就一定要用自身的安全来交换吗? [用户篇]不要和陌生人说话 案件回放 2005年2月28日,网友小姚在一个名为"利好交易网"的网站上,点击进入了工商银行网上支付系统,他在输入了自己的卡号和密码后却无法登录.好在小姚及时地发现这个工行网站和去年被媒体所曝光的那个假网站非常相似,并迅速赶往附近的工行,取出卡里的大部分钱,只留下71元.几个小时后,当小姚再次查询余额时,发现卡里除了