Maison > Article > développement back-end > Plusieurs attaques courantes en php
Plusieurs attaques courantes en php
- (*-*)浩original
- 2019-10-10 09:37:573557parcourir
Les attaques courantes sur PHP sont :
Injection SQL
L'injection SQL est une attaque malveillante dans laquelle les utilisateurs saisissent des instructions SQL dans les champs de formulaire pour affecter l'exécution normale de SQL. Il y en a également un injecté via la commande system() ou exec(), qui a le même mécanisme d'injection SQL, mais cible uniquement les commandes shell. (Apprentissage recommandé : Tutoriel vidéo PHP)
Attaque XSS
L'utilisateur saisit certaines données dans votre site Web, qui incluent le client- script latéral (généralement JavaScript). Si vous exportez des données vers une autre page Web sans filtrage, ce script sera exécuté. Recevez le contenu texte soumis par l'utilisateur
Fixation de la session
Sécurité de la session, en supposant qu'un PHPSESSID est difficile à deviner. Cependant, PHP peut accepter un identifiant de session via un cookie ou une URL. Par conséquent, l’usurpation d’identité d’une victime peut utiliser un identifiant de session spécifique (ou autre) ou une attaque de phishing.
Capture de session et détournement
C'est la même idée que l'épinglage de session, cependant, cela implique de voler l'ID de session. Si l'ID de session est stocké dans un cookie, il peut être volé par un attaquant via XSS et JavaScript. Si l'ID de session est inclus dans l'URL, il peut également être obtenu par reniflage ou à partir du serveur proxy.
Empêcher la capture et le piratage de session :
* Mettre à jour l'ID
* Si vous utilisez des sessions, assurez-vous que l'utilisateur utilise SSL
Faux de demande intersite (CSRF)
Une attaque CSRF se produit lorsqu'une page fait une demande qui semble provenir d'un utilisateur de confiance du site Web, mais ne l'est pas. intentionnel.
Injection de code
L'injection de code est provoquée par l'exploitation de vulnérabilités informatiques en traitant des données invalides. Le problème survient lorsque vous exécutez accidentellement du code arbitraire, généralement via l'inclusion de fichiers. Un code mal écrit peut permettre à un fichier distant d'être inclus et exécuté.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!