1. 入力をフィルターし、出力を回避します
「入力をフィルターし、出力を回避する」というフレーズを FIEO と略すこともありますが、これは PHP アプリケーションのセキュリティのマントラとなっています。
1. 検証には ctype を使用します
ctype: http://php.net/ctype
2. 検証には PCRE (Perl 互換の正規表現) を使用します
PCRE: http://php.net/pcre
2. クロスサイトスクリプティング
XSS とも呼ばれるクロスサイト スクリプティングは、アプリケーション出力内でユーザーが指定した変数の場所をターゲットとする攻撃ベクトルですが、その変数は適切にエスケープされていません。これにより、攻撃者は、この変数の値の一部として、選択したクライアント側スクリプトを挿入することができます。このタイプの攻撃に対して脆弱なコードの例を次に示します:
リーリーオンラインリソース:
1. http://ha.ckers.org/xss.html
2. http://shiflett.org/articles/cross-site-scripting
3. http://seancoates.com/blogs/xss-woes
3. 偽のクロスサイトスクリプティング
攻撃者が、人気のオンライン ストアから高価な商品を代金を支払わずに入手したいと考えているとします。代わりに、彼らは何も疑っていない被害者にその金額を支払ってほしいと考えています。彼らが選んだ武器は、偽のクロスサイトリクエストです。このタイプの攻撃の目的は、被害者に特定の Web サイトにリクエストを送信させ、被害者がその Web サイトに登録した ID 情報を使用することです。
オンラインリソース:
1. http://shiflett.org/articles/cross-site-request-forgeries
2. http://shiflett.org/articles/foiling-cross-site-攻撃
4. セッションの固定
前に示したように、ユーザー セッションは頻繁に攻撃の対象となり、潜在的な被害者とターゲット Web サイトを特定するこの機能により、一部の攻撃がそれらを利用することが可能になります。攻撃者が有効なセッション識別子を取得する 3 つの方法を次に示します。難易度の高い順に並べると、次のようになります。
1.修正済み
2.キャプチャ
3. 予測
オンラインリソース:
1. http://shiflett.org/articles/session-fixation
2. http://phpsec.org/projects/guide/4.html#4.1
3. http://www.owasp.org/index.php/Session_fixation
5. セッションハイジャック
セッション ハイジャックという用語は、次の 2 つのことを説明するために使用されるため、少し混乱します:
1. アクセスを取得した方法に関係なく、攻撃者が被害者のアカウントに関連付けられた Web サイト上のセッションにアクセスすることになるあらゆる種類の攻撃。
2. 固定された手法や予測を通じてセッション ID を取得するのではなく、確立されたセッション ID をキャプチャする必要がある特定のタイプの攻撃。
オンラインリソース:
1. http://shiflett.org/articles/session-hijacking
2. http://shiflett.org/articles/the-truth-about-sessions
3. http://phpsec.org/projects/guide/4.html#4.2
6. SQL インジェクション
このタイプの攻撃の性質は、前述した「入力のフィルタリングと出力の回避」に関連しています。基本的に、SQL インジェクションは XSS に非常に似ており、攻撃オブジェクトによってアプリケーションはユーザー入力がそれが表すデータ以上の意味を持っていると認識します。 XSS の目的は、これらの入力をクライアント側のコードとして実行することですが、SQL インジェクションの目的は、それらの入力を SQL クエリまたはクエリの一部と見なすことです。
オンラインリソース:
1. http://shiflett.org/articles/sql-injection
2. http://phpsec.org/projects/guide/3.html#3.2
7. パスワードを保存します
Web アプリケーションがデータベース クエリでのユーザー入力を効果的に処理できる状況では、攻撃者はユーザー アカウントにアクセスするためにより幅広い手段を使用する必要があります。通常、これには、被害者のデータにアクセスするためのアクセス資格情報の取得も含まれます。
これを実現する 1 つの方法は、Web アプリケーションが使用するデータベース サーバーに強制的にアクセスすることです。使用するデータベース、データベースの構成方法、その他の関連情報に応じて、攻撃者はさまざまな方法で侵入します。
オンラインリソース:
1. http://php.net/mcrypt
2. http://www.openwall.com/phpass/
3. http://codahale.com/how-to-safely-store-a-password/
8. ブルートフォース攻撃
攻撃者にとって、データベースに侵入したり、暗号化されたパスワードを復号したりするための技術的な敷居は高すぎます。この場合、攻撃者は、ブラウザを使用する通常のユーザーの HTTP リクエストをシミュレートするスクリプトを使用して、正しいユーザー名とランダムなパスワードを使用して Web アプリケーションにログインしようとする可能性があります。パスワード。この手法は「ブルートフォース攻撃」と呼ばれます。
オンラインリソース:
1. https://www.owasp.org/index.php/Brute_force_攻撃
2. http://en.wikipedia.org/wiki/ブルートフォース攻撃
9、SSL
オンラインリソース:
1. http://arst.ch/bgm
2. http://www.owasp.org/index.php/SSL_Best_Practices
PHP セキュリティ関連リソース:
1. http://www.php.net/manual/en/security.php PHPマニュアルにはさまざまなセキュリティ問題に関する章があります
2. http://phpsecurity.org/ 書籍「Essential PHP Security」の関連サイトです
3. http://phpsec.org/projects/guide/ PHP Security Association のプロジェクトの 1 つが「PHP Security Guide」です
4. http://www.enigmagroup.org/ この Web サイトは、Web アプリケーションやフォーラムに対する多くの潜在的な攻撃ベクトルに関する情報と実践的な演習を提供します。
PHPの現在のステータス:Web開発動向を見てくださいApr 13, 2025 am 12:20 AMPHPは、現代のWeb開発、特にコンテンツ管理とeコマースプラットフォームで依然として重要です。 1)PHPには、LaravelやSymfonyなどの豊富なエコシステムと強力なフレームワークサポートがあります。 2)パフォーマンスの最適化は、Opcacheとnginxを通じて達成できます。 3)PHP8.0は、パフォーマンスを改善するためにJITコンパイラを導入します。 4)クラウドネイティブアプリケーションは、DockerおよびKubernetesを介して展開され、柔軟性とスケーラビリティを向上させます。
PHP対その他の言語:比較Apr 13, 2025 am 12:19 AMPHPは、特に迅速な開発や動的なコンテンツの処理に適していますが、データサイエンスとエンタープライズレベルのアプリケーションには良くありません。 Pythonと比較して、PHPはWeb開発においてより多くの利点がありますが、データサイエンスの分野ではPythonほど良くありません。 Javaと比較して、PHPはエンタープライズレベルのアプリケーションでより悪化しますが、Web開発により柔軟性があります。 JavaScriptと比較して、PHPはバックエンド開発により簡潔ですが、フロントエンド開発のJavaScriptほど良くありません。
PHP対Python:コア機能と機能Apr 13, 2025 am 12:16 AMPHPとPythonにはそれぞれ独自の利点があり、さまざまなシナリオに適しています。 1.PHPはWeb開発に適しており、組み込みのWebサーバーとRich Functionライブラリを提供します。 2。Pythonは、簡潔な構文と強力な標準ライブラリを備えたデータサイエンスと機械学習に適しています。選択するときは、プロジェクトの要件に基づいて決定する必要があります。
PHP:Web開発の重要な言語Apr 13, 2025 am 12:08 AMPHPは、サーバー側で広く使用されているスクリプト言語で、特にWeb開発に適しています。 1.PHPは、HTMLを埋め込み、HTTP要求と応答を処理し、さまざまなデータベースをサポートできます。 2.PHPは、ダイナミックWebコンテンツ、プロセスフォームデータ、アクセスデータベースなどを生成するために使用され、強力なコミュニティサポートとオープンソースリソースを備えています。 3。PHPは解釈された言語であり、実行プロセスには語彙分析、文法分析、編集、実行が含まれます。 4.PHPは、ユーザー登録システムなどの高度なアプリケーションについてMySQLと組み合わせることができます。 5。PHPをデバッグするときは、error_reporting()やvar_dump()などの関数を使用できます。 6. PHPコードを最適化して、キャッシュメカニズムを使用し、データベースクエリを最適化し、組み込み関数を使用します。 7
PHP:多くのウェブサイトの基礎Apr 13, 2025 am 12:07 AMPHPが多くのWebサイトよりも優先テクノロジースタックである理由には、その使いやすさ、強力なコミュニティサポート、広範な使用が含まれます。 1)初心者に適した学習と使用が簡単です。 2)巨大な開発者コミュニティと豊富なリソースを持っています。 3)WordPress、Drupal、その他のプラットフォームで広く使用されています。 4)Webサーバーとしっかりと統合して、開発の展開を簡素化します。
誇大広告を超えて:今日のPHPの役割の評価Apr 12, 2025 am 12:17 AMPHPは、特にWeb開発の分野で、最新のプログラミングで強力で広く使用されているツールのままです。 1)PHPは使いやすく、データベースとシームレスに統合されており、多くの開発者にとって最初の選択肢です。 2)動的コンテンツ生成とオブジェクト指向プログラミングをサポートし、Webサイトを迅速に作成および保守するのに適しています。 3)PHPのパフォーマンスは、データベースクエリをキャッシュおよび最適化することで改善でき、その広範なコミュニティと豊富なエコシステムにより、今日のテクノロジースタックでは依然として重要になります。
PHPの弱い参照は何ですか、そしていつ有用ですか?Apr 12, 2025 am 12:13 AMPHPでは、弱い参照クラスを通じて弱い参照が実装され、ガベージコレクターがオブジェクトの回収を妨げません。弱い参照は、キャッシュシステムやイベントリスナーなどのシナリオに適しています。オブジェクトの生存を保証することはできず、ごみ収集が遅れる可能性があることに注意する必要があります。
PHPで__invoke Magicメソッドを説明してください。Apr 12, 2025 am 12:07 AM\ _ \ _ Invokeメソッドを使用すると、オブジェクトを関数のように呼び出すことができます。 1。オブジェクトを呼び出すことができるように\ _ \ _呼び出しメソッドを定義します。 2。$ obj(...)構文を使用すると、PHPは\ _ \ _ Invokeメソッドを実行します。 3。ロギングや計算機、コードの柔軟性の向上、読みやすさなどのシナリオに適しています。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境
SublimeText3 中国語版
中国語版、とても使いやすい
WebStorm Mac版
便利なJavaScript開発ツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
