HTTP攻击与防范PHP安全配置-php教程-PHP中文網

首頁

後端開發

php教程

HTTP攻击与防范PHP安全配置

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:04 PM

1什么是安全性

所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑，但有更多的黑客费劲心思要窃取他人电脑中的机密文件，甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件，这些软件多半是免费的而且简单好用，所以一般人要攻击您的电脑，并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护？如果只是安装了查毒软件或者防火墙以为平安无事了，那么您对安全性的真正意义可以说是完全不了解。

2 register global

从PHP4.2.0开始，php.ini的register_global选项的默认值预设为Off。当register_globals设定为On时，您的程序将可以接收来自服务器中的各种环境变量，包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.例如HTML表单的请求变量。由于PHP不需要事先初始化变量的值，这就会更容易写出不安全的代码。这是个很艰难的抉择，但PHP社区还是决定默认关闭此选项。当打开时，人们使用变量时确实不知道变量是哪里来的，只能想当然。但是register_globals的关闭改变了这种代码内部变量和客户端发送的变量混杂在一起的糟糕情况。

3 安全模式

安全模式( safe_mode)是PHP用来限制文档的存取、限制环境变量的存取，以及控制外部程序的执行。

由于网站服务器是以单一系统使用者的模式在运行，因此这个系统的使用者账号必须能够读取每个使用者的文档。这表示在网站服务器上执行的任何代码文档都能够存取每个使用者的文档。PHP的安全模式在多用户的系统上设置一些限制选项来保障程序的安全运行。安全模式只能限制PHP的文档，但是不能限制PHP执行的外部应用程序。因此将可执行的应用程序放置在一个安全的文件夹内，不要让外部用户执行。启动PHP的安全模式，将php.ini文件的safe_mode选项（directive）设置为On:

safe_mode = On

事例1：

test.php内容如下：

<?php if($authorized){        echo "变量赋值";    }else{        echo "变量没有赋值";    }

当php.ini中的register_globals=Off时

访问网址:http://localhost/test.php?authorized=1

输出结果为：

变量没有赋值。

当php.ini中的register_globals=On时

攻击：

变量未初始化，可以通过url对变量赋值

输出结果为

变量赋值

防护：

变量初始化，阻止通过url对变量赋值进行攻击。

需将代码改为：

<?php $authorized=false;    if($authorized){        echo "变量赋值";    }else{        echo "变量没有赋值";    }

事例2：

例如：test.php内容如下：

<?phpif (isset($_SESSION['username'])){        echo "访问者：".$_SESSION['username'];}else{        echo "访问者尚未登陆";}

当访问http://localhost/test.php时，

输出：访问者尚未登陆

攻击：

在网址后面追加?_SESSION[username]=admin

即：http://localhost/test.php?_SESSION[username]=admin

输出：访问者：admin

防护：

session_start()开启session，获取session中的值，阻止通过url对session变量进行注入攻击。

代码改为

<?phpsession_start ();if(isset($_SESSION['username'])){        echo "访问者：".$_SESSION['username'];}else{        echo "访问者尚未登陆";}

事例3：

当php.ini中的allow_url_fopen = On时

demo.php中的内容如下：

<?php @include "$path";if(!isset($path)){        echo "文件没有被调用";}

test.php中的内容为：

<?phpecho "this is test.php。文件被调用。";

当访问网址:

http://localhost/demo.php时

输出：文件没有被调用。

攻击：

在链接后面拼接?path=test.php

即：访问http://localhost/demo.php?path=test.php

输出：this is test.php。文件被调用。

保护：

同上对path变量初始化。

注：

可以调用ini_get_all函数来显示 PHP的设定值。

例如：

<?php echo "<pre class="brush:php;toolbar:false">";        print_r(ini_get_all());        echo "

";
运行结果部分如下：

可以通过

<?phpini_set ("allow_url_fopen",1);

在php文件中修改配置

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP與Python：了解差異Apr 11, 2025 am 12:15 AM

PHP和Python各有優勢，選擇應基於項目需求。 1.PHP適合web開發，語法簡單，執行效率高。 2.Python適用於數據科學和機器學習，語法簡潔，庫豐富。

php：死亡還是簡單地適應？Apr 11, 2025 am 12:13 AM

PHP不是在消亡，而是在不斷適應和進化。 1)PHP從1994年起經歷多次版本迭代，適應新技術趨勢。 2)目前廣泛應用於電子商務、內容管理系統等領域。 3)PHP8引入JIT編譯器等功能，提升性能和現代化。 4)使用OPcache和遵循PSR-12標準可優化性能和代碼質量。

PHP的未來：改編和創新Apr 11, 2025 am 12:01 AM

PHP的未來將通過適應新技術趨勢和引入創新特性來實現：1)適應云計算、容器化和微服務架構，支持Docker和Kubernetes；2)引入JIT編譯器和枚舉類型，提升性能和數據處理效率；3)持續優化性能和推廣最佳實踐。

您什麼時候使用特質與PHP中的抽像類或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法，避免多重繼承複雜性。 2)使用trait時需注意方法衝突，可通過insteadof和as關鍵字解決。 3)應避免過度使用trait，保持其單一職責，以優化性能和提高代碼可維護性。

什麼是依賴性注入容器（DIC），為什麼在PHP中使用一個？Apr 10, 2025 am 09:38 AM

依賴注入容器（DIC）是一種管理和提供對象依賴關係的工具，用於PHP項目中。 DIC的主要好處包括：1.解耦，使組件獨立，代碼易維護和測試；2.靈活性，易替換或修改依賴關係；3.可測試性，方便注入mock對象進行單元測試。

與常規PHP陣列相比，解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一種固定大小的數組，適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小，避免動態調整帶來的開銷。 2)基於C語言數組，直接操作內存，訪問速度快。 3)適合大規模數據處理和內存敏感環境，但需謹慎使用，因其大小固定。

PHP如何安全地上載文件？Apr 10, 2025 am 09:37 AM

PHP通過$\_FILES變量處理文件上傳，確保安全性的方法包括：1.檢查上傳錯誤，2.驗證文件類型和大小，3.防止文件覆蓋，4.移動文件到永久存儲位置。

什麼是無效的合併操作員（??）和無效分配運算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值，但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯，提高了可讀性和性能。

See all articles