Heim  >  Artikel  >  Backend-Entwicklung  >  Einige häufige Sicherheitslücken in PHP-Websites und entsprechende vorbeugende Maßnahmen

Einige häufige Sicherheitslücken in PHP-Websites und entsprechende vorbeugende Maßnahmen

小云云
小云云Original
2018-03-13 10:44:013798Durchsuche


Gegenwärtig ist die Website-Entwicklung auf Basis von PHP zum Mainstream der aktuellen Website-Entwicklung geworden. Der Autor dieses Artikels konzentriert sich auf die Untersuchung von PHP-Website-Angriffen und Sicherheitsprävention mit dem Ziel, Website-Schwachstellen zu reduzieren. Ich hoffe, es wird für alle hilfreich sein

1. Häufige Sicherheitslücken in PHP
In Bezug auf PHP-Schwachstellen gibt es derzeit fünf häufige Schwachstellen. Dabei handelt es sich um Sicherheitslücken in Sitzungsdateien, durch SQL-Injection, durch Schwachstellen bei der Ausführung von Skriptbefehlen, durch globale Variablen und durch Dateischwachstellen. Hier finden Sie eine kurze Einführung zu jeder dieser Schwachstellen.
1. Sicherheitslücke in Sitzungsdateien
Sitzungsangriffe sind eine der am häufigsten von Hackern verwendeten Angriffsmethoden. Wenn ein Benutzer eine bestimmte Website besucht, setzt PHP Sitzung und Cookie, um die Verwendung und den Zugriff des Benutzers zu erleichtern, um zu verhindern, dass der Kunde bei jedem Aufrufen einer Seite seine Kontonummer und sein Passwort eingeben muss.
2. SQL-Injection-Schwachstelle
Während der Website-Entwicklung führen Programmierer aufgrund mangelnder umfassender Beurteilung der Benutzereingabedaten oder laxer Filterung dazu, dass der Server einige schädliche Informationen ausführt, z. B. Benutzerinformationsabfragen usw. Hacker können anhand der von Schadprogrammen zurückgegebenen Ergebnisse entsprechende Informationen erhalten. Dies ist die SQL-Injection-Sicherheitslücke von Yuexingwei.
3. Schwachstelle bei der Skriptausführung
Die häufigste Ursache für eine Schwachstelle bei der Skriptausführung ist, dass Programmierer die von Benutzern übermittelten URL-Parameter bei der Entwicklung von Websites nicht filtern, was zu Cross-Site-Scripting führen kann Angriffe. In früheren PHP-Websites gab es häufig Schwachstellen bei der Skriptausführung, aber mit der Aktualisierung der PHP-Versionen wurden diese Probleme reduziert oder bestehen nicht mehr.
4. Globale Variablenanfälligkeit
Variablen in PHP müssen nicht im Voraus deklariert werden, wenn sie wie andere Entwicklungssprachen verwendet werden. Das System erstellt sie automatisch, wenn sie verwendet wird Es ist nicht erforderlich, den Variablentyp anzugeben. Das System ermittelt den Variablentyp automatisch anhand des Kontexts. Diese Methode kann die Wahrscheinlichkeit, dass Programmierer beim Programmieren Fehler machen, erheblich verringern und ist sehr praktisch in der Anwendung.
5. Dateischwachstellen
Dateischwachstellen werden in der Regel durch die unzureichende Filterung extern bereitgestellter Daten durch Website-Entwickler bei der Gestaltung von Websites verursacht, was dazu führt, dass Hacker die Schwachstellen ausnutzen, um entsprechende Befehle im Webprozess auszuführen. Wenn lsm.php einen solchen Code enthält: include($b.“/aaa.php“), können Hacker Remote-Angriffe über die Variable $b erreichen, die den eigenen Code des Hackers implementieren kann Websites. Sie können a.php include=http://lZ7.0.0.1/b.php an den Server senden und dann die Anweisungen von b.php ausführen.

2. Vorbeugende Maßnahmen für häufige PHP-Schwachstellen
1. Vermeidung von Sitzungsschwachstellen
Aus der vorherigen Analyse können wir erkennen, dass der häufigste Sitzungsangriff Session-Hijacking ist, d. h. Hacker erbeuten Benutzer durch verschiedene Angriffe Methoden verwenden und dann die Identität des angegriffenen Benutzers verwenden, um sich auf der entsprechenden Website anzumelden. Aus diesem Grund können die folgenden Methoden verwendet werden, um dies zu verhindern: Erstens kann die Sitzungs-ID regelmäßig geändert werden, indem die PHP-eigene Funktion verwendet wird. Zweitens kann der Standardname der Sitzung geändert werden Diese Variable wird im Allgemeinen in einem Cookie gespeichert. Wenn ihr Name geändert wird, kann sie zum dritten Mal die transparente Sitzungs-ID blockieren Bei der Verwendung der Sitzungs-ID kann die Sitzungs-ID mithilfe eines Links deaktiviert werden, indem die Datei PHP.ini verwendet wird, um dies sicherzustellen Wenn ein Hacker an die Sitzungsdaten gelangt, werden die zugehörigen Parameter ausgeblendet. Ja, es ist auch schwierig, den Wert der Sitzungs-ID-Variablen abzurufen.
2. Verhinderung von SQL-Injection-Schwachstellen
Hacker haben viele Möglichkeiten, SQL einzuschleusen, und sie sind flexibel und veränderbar. Was SQL-Injection jedoch gemeinsam hat, ist die Verwendung von Eingabefilter-Schwachstellen. Um SQL-Injection grundsätzlich zu verhindern, besteht die grundlegende Lösung daher darin, die Filterung von Anforderungsbefehlen, insbesondere Abfrageanforderungsbefehlen, zu verstärken. Im Einzelnen umfasst es die folgenden Punkte: Erstens werden die Filteranweisungen parametrisiert, d. h. die Eingabe von Benutzerinformationen wird durch parametrisierte Anweisungen realisiert, anstatt Benutzereingaben direkt in die Anweisungen einzubetten. Die zweite besteht darin, bei der Entwicklung der Website so wenig Interpretationsprogramme wie möglich zu verwenden. Hacker verwenden diese Methode häufig, um illegale Befehle auszuführen. Die dritte besteht darin, Fehler in der Website so weit wie möglich zu vermeiden, da Hacker diese Informationen sonst verwenden könnten Um die Website anzugreifen, reicht es nicht aus, sich gegen SQL-Injection zu verteidigen. Darüber hinaus müssen häufig professionelle Schwachstellen-Scan-Tools verwendet werden, um die Website auf Schwachstellen zu scannen.
3. Verhinderung von Schwachstellen bei der Skriptausführung
Die Mittel, mit denen Hacker Schwachstellen bei der Skriptausführung zum Angriff nutzen, müssen vielfältig und flexibel sein Schwachstellen bei der Skriptausführung. Die folgenden vier Methoden werden hier häufig verwendet. Eine besteht darin, den Pfad der ausführbaren Datei vorab festzulegen. Dies kann über „safe_moade_exec_dir“ erreicht werden. Die zweite Möglichkeit besteht darin, die Befehlsparameter zu verarbeiten. Die dritte besteht darin, die systemeigene Funktionsbibliothek zu verwenden, um externe Befehle zu reduzieren.
4. Verhindern Sie globale Variablenschwachstellen.
In Bezug auf die Schwachstelle globaler PHP-Variablen gab es in der vorherigen PHP-Version ein solches Problem. Nach dem Upgrade der PHP-Version auf 5.5 kann dies jedoch durch Festlegen von php.ini behoben werden ruquest_order zu GPC. Darüber hinaus können Sie in der Konfigurationsdatei php.ini einen booleschen Wert für magic_quotes_runtime festlegen, um festzulegen, ob Backslashes zu Überlaufzeichen in extern zitierten Daten hinzugefügt werden sollen. Um sicherzustellen, dass das Website-Programm in jedem Einstellungszustand des Servers ausgeführt werden kann. Sie können get_magic_quotes_runtime verwenden, um den Einstellungsstatus am Anfang des gesamten Programms zu erkennen und zu entscheiden, ob Sie ihn manuell bearbeiten möchten, oder set_magic_quotes_runtime(0) verwenden, um ihn am Anfang zu deaktivieren (oder wenn automatische Escapezeichen nicht erforderlich sind).
5. Verhinderung von Dateischwachstellen
PHP-Dateilecks können durch die Einrichtung und Konfiguration des Servers verhindert werden. Die spezifischen Vorgänge hier sind wie folgt: Erstens deaktivieren Sie die Fehleraufforderungen im PHP-Code, um zu verhindern, dass Hacker über Fehleraufforderungen Datenbankinformationen und den physischen Pfad von Webseitendateien erhalten. Zweitens legen Sie open_basedir sorgfältig fest, was bedeutet, dass Dateioperationen außerhalb verboten werden Das Verzeichnis kann geschützt werden, um lokale oder Remote-Dateien vor Angriffen zu schützen. Hier müssen wir auch darauf achten, dass Angriffe auf Sitzungsdateien und hochgeladene Dateien verhindert werden Datei-Uploads standardisieren und verbieten, was den Sicherheitsfaktor von PHP-Websites effektiv verbessern kann.

Verwandte Empfehlungen:

Lösen Sie mehrere gängige Angriffsmethoden bei der PHP-Website-Entwicklung

So implementieren Sie eine einfache Verschlüsselung auf der PHP-Website-Schnittstelle,

Detaillierte Erläuterung des Prozesses und der Schritte der PHP-Website-Erstellung

Das obige ist der detaillierte Inhalt vonEinige häufige Sicherheitslücken in PHP-Websites und entsprechende vorbeugende Maßnahmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn