位置: 编程技术 - 正文

浅谈PHP安全防护之Web攻击(php网站安全防护)

编辑:rootadmin

推荐整理分享浅谈PHP安全防护之Web攻击(php网站安全防护),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:php安全攻防,php 安全机制,浅谈php安全防护技术论文,php网站安全防护,浅谈php安全防护技术,浅谈php安全防护技术,浅谈php安全防护的理解,浅谈php安全防护技术论文,内容如对您有帮助,希望把文章链接给更多的朋友!

SQL注入攻击(SQL Injection)

攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

常见的SQL注入式攻击过程类如:

1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;

2.登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;

例如:

3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容;

4.用户输入的内容提交给服务器之后,服务器运行上面的代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:

5.服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;

6.由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表

防范方法:

1.检查变量数据类型和格式

2.过滤特殊符号

3.绑定变量,使用预编译语句

跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。例如:

如果传入一段脚本<script>[code]</script> ,那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框: Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如:

某个购物网站购买商品时,采用 1、检查网页的来源

2、检查内置的隐藏变量

3、使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站 id,如:SID=;

2.攻击者给目标用户发送链接,并带上自己的session id,如: id不改变,现在攻击者点击 id

浅谈PHP安全防护之Web攻击(php网站安全防护)

2.更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时,sessioin id使用链接来传递

4.只从cookie检查session id

5.使用URL传递隐藏参数

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id,直到破解为止;

2.计算:如果session id使用非随机的方式产生,那么就有可能计算出来;

3.窃取:使用网络截获,xss攻击等方法获得

防范方法:

1.定期更改session id

2.更改session的名称

3.关闭透明化session id

4.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有:

上传Web脚本代码,Web容器解释执行上传的恶意脚本;

上传Flash跨域策略文件crossdomain.xml,修改访问权限(其他策略文件利用方式类似);

上传病毒、木马文件,诱骗用户和管理员下载执行;

上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。

总的来说,利用的上传文件要么具备可执行能力(恶意代码),要么具备影响服务器行为的能力(配置文件)。

防范方法:

1.文件上传的目录设置为不可执行;

2.判断文件类型,设置白名单。对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码;

3.使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击;

4.单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

参考资料:

php实现的简单中文验证码功能示例 本文实例讲述了php实现的简单中文验证码功能。分享给大家供大家参考,具体如下:img.phpphpsession_start();/*for($i=0;$i4;$i++){$rand.=dechex(rand(1,));}$_SESSION[check

PHPExcel导出和的excel文档功能示例 本文实例讲述了PHPExcel导出和的excel文档功能。分享给大家供大家参考,具体如下:require_once'common/excel/PHPExcel.php';require_once'common/excel/phpExcel/Writer/E

PHP 与 UTF-8 的最佳实践详细介绍 《PHP中的字符串、编码、UTF-8》一文中描述了一些列的基础知识,比较枯燥,现在来说点有用的——PHP字符串处理的最佳实践,本文是PHP、字符串、编码

标签: php网站安全防护

本文链接地址:https://www.jiuchutong.com/biancheng/295485.html 转载请保留说明!

上一篇:详解PHP安装mysql.so扩展的方法(php 安装)

下一篇:php实现的简单中文验证码功能示例(php实现和工作原理)

  • 所得税汇算清缴报告在哪查
  • 消费税应该怎么缴纳
  • 投资利税率包括所得税吗
  • 查询一般纳税人资格证明
  • 哪些进项税额不能加计抵减
  • 地税能不能查到个人的贷款行为?
  • 税种案例分析
  • 代开的专票开错了怎么办?
  • 加计扣除的研发费用范围
  • 建筑发票怎么抵税
  • 认证专票税务处理怎么做?
  • 公司注销无法支付的款项如何处理
  • 研发支出费用如何计算应交所得税?
  • 培训费用走账需要交税吗
  • 资源税改革最新政策
  • 企业无形资产包括
  • 计提工资时个税是计提上月的吗
  • 三栏式明细账目录填写范本
  • 如何阻止win10升级到win11
  • Radio.exe - Radio是什么进程 有什么用
  • 【2023亲测可用】JS 获取电脑本地IP 和 电脑网络IP(外网IP|公网IP)
  • 机器学习-10 聚类算法
  • php根据经纬度计算距离
  • 前端打印语句
  • 非金融机构从事贷款谁负责监管
  • 目标检测选SSD还是YOLO
  • javascript获取字符串长度
  • 卫生医疗收费专业有哪些
  • 预收安装费的会计分录
  • 进项税和销项税月末怎么结转
  • mysql左连接查询 效率
  • 织梦怎么样
  • 出口货物不能退税的账务处理
  • 按月缴纳增值税的纳税人申报期限为计算期次月的( )
  • 教育培训行业人员
  • 税控服务费全额抵扣
  • 汇算清缴要求
  • 账本更正方法
  • 减免税做营业外收入的会计分录
  • 账外资产处理
  • 经济补偿金如何做账
  • 固定资产不动产有哪些
  • 营业利润为负数表示什么
  • 油卡充值做账
  • 增值税代扣代缴范围
  • 工地上报销项目有哪些
  • 待抵扣进项税额分录
  • 银行承兑汇票以公允价值计量
  • 个人独资企业与一人公司的区别与联系
  • 未达到起征点的税金怎么做凭证
  • 《新会计准则》
  • 公司章程约定的出资时间
  • 企业注销预付账款怎么做
  • 老板个人借款要纳税吗
  • 工业企业应通过其他应付款科目核算的有
  • 工业企业增值税纳税义务发生时间
  • 安装sql server需要注意什么
  • win7和winxp区别
  • 写出linux安装的详细步骤
  • open dhcp server
  • mac安装windows10体验
  • ghost过的硬盘能恢复吗
  • win7系统桌面设置
  • winxp开机启动程序
  • 黑马一键重装
  • win7桌面没有了怎么办
  • windows 8连接vpn设置方法(消费者预览版)
  • win8 怎么样
  • Win8系统32位和64位哪个好应该如何选择
  • 从《AndEngine游戏开发实践指南》开始,学习AndEngine引擎
  • 批处理设置文件夹添加user组权限
  • 浅谈一下新冠的好处
  • unity导入工程根本运行不了
  • 一个简单的网页
  • jquery网页跳转
  • python 脚本编写
  • javascript面向对象编程
  • android 多页面
  • 税务局打来电话
  • 公司被税务查账对不上
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设