PHP erfüllt die Sicherheitsmechanismen bezüglich Datei- und Verzeichnisberechtigungen in den meisten Serversystemen. Dadurch können Administratoren steuern, welche Dateien im Dateisystem lesbar sind. Besonderes Augenmerk muss auf global lesbare Dateien gelegt werden und darauf, dass das Lesen dieser Dateien durch jeden autorisierten Benutzer sicher ist.
PHP ist für den Zugriff auf das Dateisystem auf Benutzerebene konzipiert. Daher ist es durchaus möglich, einen Teil PHP-Code zu schreiben, um Systemdateien wie /etc/passwd zu lesen, Netzwerkverbindungen zu ändern und eine große Anzahl zu senden von Druckaufträgen etc. Sie müssen also sicherstellen, dass Ihr PHP-Code die entsprechenden Dateien liest und schreibt.
Bitte schauen Sie sich den Code unten an. Der Benutzer möchte eine Datei in seinem Home-Verzeichnis löschen. Angenommen, in diesem Szenario wird das Dateisystem über die Webschnittstelle verwaltet, sodass der Apache-Benutzer die Berechtigung hat, Dateien im Benutzerverzeichnis zu löschen.
Beispiel Nr. 1 Das Versäumnis, Sicherheitsüberprüfungen für Variablen durchzuführen, führt zu...
<?php
// 从用户目录中删除指定的文件
$username = $_POST['user_submitted_name'];
$userfile = $_POST['user_submitted_filename'];
$homedir = "/home/$username";
unlink ("$homedir/$userfile");
echo "The file has been deleted!";
?>Da die Benutzernamen- und Dateinamenvariablen über das Benutzerformular übermittelt werden können, können Sie die Variablen anderer Personen übermitteln Benutzernamen und Dateinamen. Sie können sogar Dateien löschen, die sie eigentlich nicht löschen sollten. In diesem Fall müssen andere Authentifizierungsmethoden in Betracht gezogen werden. Überlegen Sie, was passieren würde, wenn die übergebenen Variablen „../etc/“ und „passwd“ wären. Der obige Code entspricht:
Beispiel #2... Dateisystemangriff
<?php
// 删除硬盘中任何 PHP 有访问权限的文件。如果 PHP 有 root 权限:
$username = $_POST['user_submitted_name']; // "../etc"
$userfile = $_POST['user_submitted_filename']; // "passwd"
$homedir = "/home/$username"; // "/home/../etc"
unlink("$homedir/$userfile"); // "/home/../etc/passwd"
echo "The file has been deleted!";
?>Es gibt zwei wichtige Maßnahmen, um solche Probleme zu verhindern.
Gewährt PHP-Webbenutzern nur sehr begrenzte Berechtigungen.
Überprüfen Sie alle übermittelten Variablen.
Hier ist das verbesserte Skript:
Beispiel #3 Sicherere Dateinamenprüfung
<?php
// 删除硬盘中 PHP 有权访问的文件
$username = $_SERVER['REMOTE_USER']; // 使用认证机制
$userfile = basename($_POST['user_submitted_filename']);
$homedir = "/home/$username";
$filepath = "$homedir/$userfile";
if (file_exists($filepath) && unlink($filepath)) {
$logstring = "Deleted $filepath\n";
} else {
$logstring = "Failed to delete $filepath\n";
}
$fp = fopen("/home/logging/filedelete.log", "a");
fwrite ($fp, $logstring);
fclose($fp);
echo htmlentities($logstring, ENT_QUOTES);
?>Dies ist jedoch immer noch fehlerhaft. Wenn das Authentifizierungssystem Benutzern erlaubt, ihren eigenen Login-Benutzernamen zu erstellen, und der Benutzer „../etc/“ als Benutzernamen verwendet, stürzt das System erneut ab. Daher ist es notwendig, die Prüfung zu verstärken:
Beispiel #4 Sicherere Dateinamenprüfung
<?php
$username = $_SERVER['REMOTE_USER']; // 使用认证机制
$userfile = $_POST['user_submitted_filename'];
$homedir = "/home/$username";
$filepath = "$homedir/$userfile";
if (!ctype_alnum($username) || !preg_match('/^(?:[a-z0-9_-]|\.(?!\.))+$/iD', $userfile)) {
die("Bad username/filename");
}
//后略……
?>Je nach Betriebssystem gibt es verschiedene Dateien, die Aufmerksamkeit erfordern, einschließlich der damit verbundenen zu Systemgeräten (/dev/ oder COM1), Konfigurationsdateien (/ect/-Dateien und .ini-Dateien), häufig verwendeten Speicherbereichen (/home/ oder Eigene Dateien) usw. Aus diesem Grund ist es oft einfacher, eine Richtlinie einzurichten, die alle Berechtigungen deaktiviert und nur diejenigen aktiviert, die ausdrücklich zugelassen sind.
Erklären Sie, wie sich das Lastausgleich auf das Sitzungsmanagement auswirkt und wie es angegangen werden soll.Apr 29, 2025 am 12:42 AMLastausgleich beeinflusst das Sitzungsmanagement, kann jedoch durch Sitzungsreplikation, Sitzungsklebrigkeit und zentraler Sitzungsspeicher gelöst werden. 1. Sitzungsreplikationsdaten zwischen Servern. 2. Session Stickiness lenkt Benutzeranfragen auf denselben Server. 3. Zentraler Sitzungsspeicher verwendet unabhängige Server wie Redis, um Sitzungsdaten zu speichern, um die Datenfreigabe zu gewährleisten.
Erläutern Sie das Konzept der Sitzungsperrung.Apr 29, 2025 am 12:39 AMSessionLockingIsatechniqueUTToensureUsers'SSessionSessionSeSexclusivetooneuseratatim.itiscrialtforpreventingDatacorruptionandSecurityBreachesinmulti-UserApplications
Gibt es Alternativen zu PHP -Sitzungen?Apr 29, 2025 am 12:36 AMZu den Alternativen zu PHP-Sitzungen gehören Cookies, Token-basierte Authentifizierung, datenbankbasierte Sitzungen und Redis/Memcached. 1. Kookies verwalten Sitzungen, indem sie Daten über den Kunden speichern, was einfach, aber nur gering ist. 2. Altbasierte Authentifizierung verwendet Token, um Benutzer zu überprüfen, was sehr sicher ist, aber zusätzliche Logik erfordert. 3.Database-basiertssesses speichert Daten in der Datenbank, was eine gute Skalierbarkeit aufweist, die Leistung jedoch beeinflusst. V.
Definieren Sie den Begriff 'Sitzung' im Kontext von PHP.Apr 29, 2025 am 12:33 AMSessionhijacking bezieht sich auf einen Angreifer, der sich als Benutzer ausgibt, indem die SessionID des Benutzers angezeigt wird. Zu den Präventionsmethoden gehören: 1) Verschlüsseln der Kommunikation mit HTTPS; 2) Überprüfung der Quelle der SessionID; 3) mit einem sicheren Algorithmus zur Sitzung der Sitzung; 4) regelmäßig aktualisieren die SitzungID.
Was ist die vollständige Form von PHP?Apr 28, 2025 pm 04:58 PMIn dem Artikel werden PHP erörtert, in dem die vollständige Form, Hauptnutzungen in der Webentwicklung, der Vergleich mit Python und Java und seine Lernen des Lernens für Anfänger beschrieben werden.
Wie handelt es sich bei PHP um Formulardaten?Apr 28, 2025 pm 04:57 PMPHP behandelt Formdaten mit $ \ _ post und $ \ _ GET Superglobals, wobei die Sicherheit durch Validierung, Bereinigung und sichere Datenbankinteraktionen gewährleistet ist.
Was ist der Unterschied zwischen PHP und ASP.NET?Apr 28, 2025 pm 04:56 PMDer Artikel vergleicht PHP und ASP.NET und konzentriert sich auf ihre Eignung für groß angelegte Webanwendungen, Leistungsunterschiede und Sicherheitsfunktionen. Beide sind für große Projekte lebensfähig, aber PHP ist Open-Source und plattformunabhängig, während ASP.NET,
Ist PHP eine Fallempfindlichkeit?Apr 28, 2025 pm 04:55 PMDie Fallempfindlichkeit von PHP variiert: Funktionen sind unempfindlich, während Variablen und Klassen empfindlich sind. Zu den Best Practices gehören eine konsistente Benennung und Verwendung von Fall-unempfindlichen Funktionen für Vergleiche.
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!
Heißer Artikel
Heiße Werkzeuge
Dreamweaver Mac
Visuelle Webentwicklungstools
mPDF
mPDF ist eine PHP-Bibliothek, die PDF-Dateien aus UTF-8-codiertem HTML generieren kann. Der ursprüngliche Autor, Ian Back, hat mPDF geschrieben, um PDF-Dateien „on the fly“ von seiner Website auszugeben und verschiedene Sprachen zu verarbeiten. Es ist langsamer und erzeugt bei der Verwendung von Unicode-Schriftarten größere Dateien als Originalskripte wie HTML2FPDF, unterstützt aber CSS-Stile usw. und verfügt über viele Verbesserungen. Unterstützt fast alle Sprachen, einschließlich RTL (Arabisch und Hebräisch) und CJK (Chinesisch, Japanisch und Koreanisch). Unterstützt verschachtelte Elemente auf Blockebene (wie P, DIV),
SublimeText3 Linux neue Version
SublimeText3 Linux neueste Version
Herunterladen der Mac-Version des Atom-Editors
Der beliebteste Open-Source-Editor
PHPStorm Mac-Version
Das neueste (2018.2.1) professionelle, integrierte PHP-Entwicklungstool
