1. SQL 주입
웹 양식 제출에 SQL 명령을 삽입하거나 도메인 이름 또는 페이지 요청에 대한 쿼리 문자열을 입력하여 궁극적으로 서버를 속여 악성 SQL 명령을 실행합니다.
방어: 먼저 필터링한 다음 매개변수 바인딩을 수행합니다.
2.
방어: 필터 입력.
$id = (int) $_REQUEST['id'];if( $id > 0 ){}$name = htmlentities($_REQUEST['name'], ENT_QUOTES, "UTF-8");// 注意,如果这里不进行转化也是可以的,// 只要在输出的时候进行转化(建立在已经参数绑定的情况下)。3. CSRF
교차 사이트 요청 위조
원리: Helen이 Weibo에 로그인한 후 유해한 사이트를 탐색했고 유해한 사이트인 Weibo 블로그에 가짜 게시물이 생성되었습니다. 이번에 헬렌은 자신도 모르게 웨이보를 올렸다.
방어: Weibo 페이지에 임의의 토큰을 삽입하면 Weibo 서버가 토큰 값을 확인합니다.
4. Clickjacking
ClickJacking
원리: 아마도 두 가지 방법이 있을 것입니다. 하나는 공격자가 투명한 iframe을 사용하여 이를 웹 페이지에 덮어 사용자가 들어가도록 유도하는 것입니다. iframe에서 작업할 때 사용자는 자신도 모르게 투명한 iframe 페이지를 클릭하게 됩니다. 둘째, 공격자는 웹 페이지를 가리기 위해 그림을 사용하여 웹 페이지의 원래 위치를 차단합니다.
방어: js를 사용하여 프레임이 동일한 도메인 이름에 있는지 확인합니다. 헤더 지시문 추가: X-Frame-Options.
// js if (top.location.hostname !== self.location.hostname) { alert("您正在访问不安全的页面,即将跳转到安全页面!"); top.location.href = self.location.href;}// Apache 配置:Header always append X-Frame-Options SAMEORIGIN// nginx 配置:add_header X-Frame-Options SAMEORIGIN;5. 파일 업로드
원칙: 다양한 유형의 불법 소프트웨어가 업로드될 수 있습니다.
방어: 감지 유형, 감지 크기. zip 재압축. 압축을 풀면 서버가 혼잡해질 가능성이 높기 때문입니다.
7. 세션 하이재킹
원리: 클라이언트와 서버가 통신할 때 해커는 패킷을 캡처하여 세션 ID를 획득하고 최종적으로 서버와 통신합니다.
방어: 때때로 HttpOnly를 설정하고 sessionid를 재설정하세요.
8. 비밀번호 저장
$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true9. 무차별 대입 크래킹
/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/
서버 보안
1. mysql 루트 수정 이름
vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器,不要忘记修改阿里云安全组3. 루트 원격 로그인 비활성화
> 웹 양식에 SQL 명령을 입력하거나 요청한 도메인 이름이나 페이지를 입력합니다. 쿼리 문자열, 궁극적으로 서버는 악성 SQL 명령을 실행하도록 속입니다.# 修改 mysql 数据库中的 user 表,然后 flush privileges
방어: 먼저 필터링한 다음 매개변수 바인딩을 수행합니다.
2.
방어: 필터 입력.
vi /etc/ssh/sshd_configPermitRootLogin
$id = (int) $_REQUEST['id'];if( $id > 0 ){}
3. CSRF
교차 사이트 요청 위조
원리: Helen은 Weibo에 로그인하여 유해 사이트를 탐색했으며 유해 사이트 Weibo 블로그에 가짜 게시물이 생성되었습니다. 헬렌은 자신도 모르게 웨이보를 올렸습니다.
방어: Weibo 페이지에 임의의 토큰을 삽입하면 Weibo 서버가 토큰 값을 확인합니다.
4. 클릭재킹
ClickJacking
原理:大概有两种方式,一是攻击者使用一个透明的 iframe ,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置。
防御:使用 js 判断框架是否在同一个域名下。添加头部指令: X-Frame-Options。
// js if (top.location.hostname !== self.location.hostname) { alert("您正在访问不安全的页面,即将跳转到安全页面!"); top.location.href = self.location.href;}// Apache 配置:Header always append X-Frame-Options SAMEORIGIN// nginx 配置:add_header X-Frame-Options SAMEORIGIN;
5. 上传文件
原理:可能会被上传各种类型的非法软件。
防御:检测类型,检测大小。
6. zip *
原理:有些 zip 文件看起来很小,解压后非常大
防御:不要做这样的操作:对用户上传的压缩文件解压,处理,再压缩。因为你解压的时候,很可能你的服务器就被挤爆了。
7. session 劫持
原理:客户端和服务端通信时候,黑客抓包,获取 sessionid ,最终黑客与服务器通信。
防御:
设置 HttpOnly,时常重设 sessionid。
8. 密码存储
$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true
9. 暴力破解
/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/
服务器安全
1. 修改 22 端口
vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器,不要忘记修改阿里云安全组
2. 修改 mysql root 名称
# 修改 mysql 数据库中的 user 表,然后 flush privileges
3. 禁止 root 远程登陆
vi /etc/ssh/sshd_configPermitRootLogin
相关推荐:
위 내용은 PHP 보안 예제에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
PHP 세션에 저장된 데이터를 어떻게 수정합니까?Apr 27, 2025 am 12:23 AMtomodifyDatainAphPessess, startSessionstession_start (), 그런 다음 $ _sessionToset, modify, orremovevariables.
PHP 세션에 배열을 저장하는 예를 제시하십시오.Apr 27, 2025 am 12:20 AM배열은 PHP 세션에 저장할 수 있습니다. 1. 세션을 시작하고 session_start ()를 사용하십시오. 2. 배열을 만들고 $ _session에 저장하십시오. 3. $ _session을 통해 배열을 검색하십시오. 4. 세션 데이터를 최적화하여 성능을 향상시킵니다.
Garbage Collection은 PHP 세션에 어떻게 효과가 있습니까?Apr 27, 2025 am 12:19 AMPHP 세션 쓰레기 수집은 만료 된 세션 데이터를 정리하기위한 확률 메커니즘을 통해 트리거됩니다. 1) 구성 파일에서 트리거 확률 및 세션 수명주기를 설정합니다. 2) CRON 작업을 사용하여 고재 응용 프로그램을 최적화 할 수 있습니다. 3) 데이터 손실을 피하기 위해 쓰레기 수집 빈도 및 성능의 균형을 맞춰야합니다.
PHP에서 세션 활동을 어떻게 추적 할 수 있습니까?Apr 27, 2025 am 12:10 AMPHP의 사용자 세션 활동 추적은 세션 관리를 통해 구현됩니다. 1) Session_start ()를 사용하여 세션을 시작하십시오. 2) $ _session 배열을 통해 데이터를 저장하고 액세스하십시오. 3) 세션 _destroy ()를 호출하여 세션을 종료합니다. 세션 추적은 사용자 행동 분석, 보안 모니터링 및 성능 최적화에 사용됩니다.
데이터베이스를 사용하여 PHP 세션 데이터를 저장할 수있는 방법은 무엇입니까?Apr 27, 2025 am 12:02 AM데이터베이스를 사용하여 PHP 세션 데이터를 저장하면 성능 및 확장 성을 향상시킬 수 있습니다. 1) 세션 데이터를 저장하기 위해 MySQL 구성 : php.ini 또는 php 코드에서 세션 프로세서를 설정하십시오. 2) 사용자 정의 세션 프로세서 구현 : 데이터베이스와 상호 작용하기 위해 열린, 닫기, 읽기, 쓰기 및 기타 기능을 정의합니다. 3) 최적화 및 모범 사례 : 인덱싱, 캐싱, 데이터 압축 및 분산 스토리지를 사용하여 성능을 향상시킵니다.
PHP 세션의 개념을 간단한 용어로 설명하십시오.Apr 26, 2025 am 12:09 AMphpsessionstrackuserdataacrossmultiplepagerequestsususingauniqueIdStoredInAcookie.here'showtomanagetheMeftically : 1) STARTASESSIONSTART_START () andSTAREDATAIN $ _SESSION.2) RegenerATERATESSESSIDIDAFTERLOGINWITHSESSION_RATERATERATES (True) TopreventSES
PHP 세션에 저장된 모든 값을 어떻게 반복합니까?Apr 26, 2025 am 12:06 AMPHP에서 세션 데이터를 통한 반복은 다음 단계를 통해 달성 할 수 있습니다. 1. Session_start ()를 사용하여 세션을 시작하십시오. 2. $ _session 배열의 모든 키 값 쌍을 통해 Foreach 루프를 통과합니다. 3. 복잡한 데이터 구조를 처리 할 때 is_array () 또는 is_object () 함수를 사용하고 print_r ()를 사용하여 자세한 정보를 출력하십시오. 4. Traversal을 최적화 할 때 페이징을 사용하여 한 번에 많은 양의 데이터를 처리하지 않도록 할 수 있습니다. 이를 통해 실제 프로젝트에서 PHP 세션 데이터를보다 효율적으로 관리하고 사용하는 데 도움이됩니다.
사용자 인증에 세션을 사용하는 방법을 설명하십시오.Apr 26, 2025 am 12:04 AM이 세션은 서버 측 상태 관리 메커니즘을 통해 사용자 인증을 인식합니다. 1) 세션 생성 및 고유 ID의 세션 생성, 2) ID는 쿠키를 통해 전달됩니다. 3) ID를 통해 서버 저장 및 세션 데이터에 액세스합니다. 4) 사용자 인증 및 상태 관리가 실현되어 응용 프로그램 보안 및 사용자 경험이 향상됩니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
Dreamweaver Mac版
시각적 웹 개발 도구
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
WebStorm Mac 버전
유용한 JavaScript 개발 도구
