没有合适的资源?快使用搜索试试~ 我知道了~
php安全总结1
需积分: 0 0 下载量 47 浏览量
2022-08-08
21:02:27
上传
评论
收藏 15KB DOCX 举报
温馨提示
试读
2页
php安全总结1
资源详情
资源评论
资源推荐
攻击形式:
1、密码破解:
猜测(社会工程学、密码心理学)、暴力破解
加强密码复杂度,限制失败登陆次数
木马截取(击键记录、屏幕记录)、
客户端和服务器不乱装软件
网络钓鱼
收藏常用网站,注意域名是否正确
网络嗅探器
不再公共场所使用重要应用
2、利用漏洞:
SQL 注入:字符串组合,uncode 字符串等
解决办法:格式化变量
Intval(), floatval() //安全
Addslashe() //不安全!!已经不建议使用
mysql_real_escape_string() //需要同时指定客户端和服务器端编码才安全!!
mysql_real_escape_string 能够防注入是因为 mysql_escape_string 本身并没办法判断当前的编码,必须同时指定服务端的编码和
客户端的编码,加上就能防编码问题的注入。虽然是可以一定程度上防止 SQL 注入,但还是建议使用拥有 Prepared Statement 机制的
PDO 和 MYSQLi 来代替 mysql_query (注:mysql_query 自 PHP 5.5.0 起已废弃,并在将来会被移除)
XSS 跨站攻击:篡改页面,截取登陆信息,cookie 窃取,session 挟持欺骗
strip_tags() //可能损坏丢失数据!!
htmlspecialchars() //设置 quotestyle 选项为 ENT_QUOTES 过滤单引号
htmlspecialchars 默认不过滤单引号的,只有设置 quotestyle 选项为 ENT_QUOTES 才会过滤单引号
自建通用函数过滤关键字
获取系统敏感文件内容: 根据变量组合文件名 file_get_contents() 、fread()
preg_match(‘/[a-z0-9,%]/’,$input)
上传可执行文件
加强上传文件类型校验
限制上传目录权限,如禁止执行或禁止浏览器直接访问
蒋寻
- 粉丝: 23
- 资源: 321
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0