文章插图
文章转自:https://learnku.com/php/t/24930相对于其他几种语言来说,PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来 。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识 。
更多文章:https://learnku.com/laravel/c...
此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略 。但是,这并不是说你做到这几点以后,就一定能避免你的网站出现任何问题 。如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提高你的网站安全性
出于演示需要,代码可能不是很完美 。日常开发过程中,很多代码都包含在了框架跟各种库里面 。作为一个后台开发,你不仅要熟练基本的CURD,更要知道如何保护你的数据 。
1. SQL 注入我赌一包辣条,你肯定会看到这里 。SQL 注入是对您网站最大的威胁之一,如果您的数据库受到别人的 SQL 注入的攻击的话,别人可以转出你的数据库,也许还会产生更严重的后果 。
网站要从数据库中获取动态数据,就必须执行 SQL 语句,举例如下:
<?php$username = $_GET['username'];$query = "SELECT * FROM users WHERE username = '$username'";攻击者控制通过 GET 和 POST 发送的查询(或者例如 UA 的一些其他查询) 。一般情况下,你希望查询户名为「 peter 」的用户产生的 SQL 语句如下:SELECT*FROMusersWHEREusername ='peter'但是,攻击者发送了特定的用户名参数,例如:' OR '1'='1这就会导致 SQL 语句变成这样:
SELECT*FROMusersWHEREusername ='peter'OR'1'='1'这样,他就能在不需要密码的情况下导出你的整个用户表的数据了 。那么,我们如何防止这类事故的发生呢?主流的解决方法有两种 。转义用户输入的数据或者使用封装好的语句 。转义的方法是封装好一个函数,用来对用户提交的数据进行过滤,去掉有害的标签 。但是,我不太推荐使用这个方法,因为比较容易忘记在每个地方都做此处理 。
下面,我来介绍如何使用 PDO 执行封装好的语句( mysqi 也一样):
$username = $_GET['username'];$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');$query->execute(['username' => $username]);$data = https://www.isolves.com/it/cxkf/yy/php/2019-12-31/$query->fetch();动态数据的每个部分都以:做前缀 。然后将所有参数作为数组传递给执行函数,看起来就像 PDO 为你转义了有害数据一样 。几乎所有的数据库驱动程序都支持封装好的语句,没有理由不使用它们!养成使用他们的习惯,以后就不会忘记了 。
你也可以参考 phpdelusions 中的一篇关于动态构建 SQL 查询时处理安全问题的文章 。链接: https://phpdelusions.net/pdo/...。
2. XSSXSS 又叫 css (Cross Site Script),跨站脚本攻击 。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的 。
下面以一个搜索页面为例子:
<body><?php$searchQuery = $_GET['q'];/* some search magic here */?><h1>You searched for: <?php echo $searchQuery; ?></h1><p>We found: Absolutely nothing because this is a demo</p></body>因为我们把用户的内容直接打印出来,不经过任何过滤,非法用户可以拼接 URL:search.php?q=%3Cscript%3Ealert(1)%3B%3C%2Fscript%3EPHP 渲染出来的内容如下,可以看到 JAVAscript 代码会被直接执行:<body><h1>You searched for: <script>alert(1);</script></h1><p>We found: Absolutely nothing because this is a demo</p></body>问:JS 代码被执行有什么大不了的?JavaScript 可以:
- 偷走你用户浏览器里的 Cookie;
- 通过浏览器的记住密码功能获取到你的站点登录账号和密码;
- 盗取用户的机密信息;
- 你的用户在站点上能做到的事情,有了 JS 权限执行权限就都能做,也就是说 A 用户可以模拟成为任何用户;
- 在你的网页中嵌入恶意代码;
- ...
好消息是比较先进的浏览器现在已经具备了一些基础的 XSS 防范功能,不过请不要依赖与此 。
推荐阅读
- 有趣的arp攻击
- 婚姻出现问题如何解决 婚姻不如意
- 为了让你更放心用微波炉 我们回答了这些问题
- 找工作时特别注意什么 找工作要注意什么问题
- 腰背部问题按摩委中穴 穴位减肥
- 把关茶叶质量安全 S认证构建茶业防火墙
- eset endpoint antivirus卸载
- 空调不制冷了还嗡嗡响是咋回事,空调嗡嗡响不制冷什么问题
- 壹指阐_春茶生产在即,日照绿茶质量安全溯源管理体系建设加速度
- Docker 安装 Nginx、PHP、MySQL、Tomcat、Python、Redis、Apache