php安全實例詳解

1. sql 注入

透過把SQL 指令插入到Web 表單提交或輸入網域名稱或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL 指令。

防禦：先過濾，然後進行參數綁定。

2. XSS

#Cross Site Scripting 跨站腳本

原理：以不同方式給予網頁嵌入腳本，以達到攻擊目的。

防禦：過濾輸入。

$id = (int) $_REQUEST['id'];if( $id > 0 ){}

$name = htmlentities($_REQUEST['name'], ENT_QUOTES, "UTF-8");// 注意，如果这里不进行转化也是可以的，// 只要在输出的时候进行转化(建立在已经参数绑定的情况下)。

3. CSRF

#Cross-site request forgery 跨站請求偽造

#原理：Helen 登入了微博後又瀏覽了一個有害站點，有害站點上偽造了一個post 微博，這時候Helen 就在不知情的情況下發了一條微博。

防禦：微博頁面中嵌入一個隨機 token ，微博伺服器端驗證 token 值。

4. 點選劫持

#ClickJacking

##原則：大概有兩種方式，一是攻擊者使用一個透明的iframe ，覆蓋在一個網頁上，然後誘使用戶在該頁面上進行操作，此時用戶將在不知情的情況下點擊透明的iframe 頁面；二是攻擊者使用一張圖片覆蓋在網頁，遮擋網頁原有位置。

防禦：使用 js 判斷框架是否在同一個網域下。新增頭部指令： X-Frame-Options。

// js if (top.location.hostname !== self.location.hostname) {    alert("您正在访问不安全的页面，即将跳转到安全页面！");    top.location.href = self.location.href;}// Apache 配置：Header always append X-Frame-Options SAMEORIGIN// nginx 配置：add_header X-Frame-Options SAMEORIGIN;

5. 上傳檔案

#原則：可能會被上傳各種類型的非法軟體。

防禦：偵測類型，偵測大小。

6. zip *

#原理：有些zip 檔案看起來很小，解壓縮後非常大

防禦：不要做這樣的操作：對使用者上傳的壓縮檔案解壓縮，處理，再壓縮。因為你解壓縮的時候，很可能你的伺服器就被擠壓了。

7.session 劫持

# 原理：用戶端和服務端通訊時候，駭客抓包，取得sessionid ，最終駭客與伺服器通訊。

防禦:  設定 HttpOnly，時常重設 sessionid。

#8.密碼儲存

$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true

9. 暴力破解

/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/

伺服器安全性

1. 修改22 埠

vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器，不要忘记修改阿里云安全组

2. 修改mysql root 名稱

# 修改 mysql 数据库中的 user 表，然后 flush privileges

3. 禁止root 遠端登陸

vi /etc/ssh/sshd_configPermitRootLogin

               

web 安全性

1. 注入

#透過把SQL 指令插入到Web 表單提交或輸入網域或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL 指令。

防禦：先過濾，然後進行參數綁定。

2. XSS

#Cross Site Scripting 跨站腳本

原理：以不同方式給予網頁嵌入腳本，以達到攻擊目的。

防禦：過濾輸入。

$id = (int) $_REQUEST['id'];if( $id > 0 ){}

$name = htmlentities($_REQUEST['name'], ENT_QUOTES, "UTF-8");// 注意，如果这里不进行转化也是可以的，// 只要在输出的时候进行转化(建立在已经参数绑定的情况下)。

3. CSRF

#Cross-site request forgery 跨站請求偽造

#原理：Helen 登入了微博後又瀏覽了一個有害站點，有害站點上偽造了一個post 微博，這時候Helen 就在不知情的情況下發了一條微博。

防禦：微博頁面中嵌入一個隨機 token ，微博伺服器端驗證 token 值。

4. 點選劫持

#ClickJacking

###

原理：大概有两种方式，一是攻击者使用一个透明的 iframe ，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的 iframe 页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置。

防御：使用 js 判断框架是否在同一个域名下。添加头部指令： X-Frame-Options。

// js if (top.location.hostname !== self.location.hostname) {    alert("您正在访问不安全的页面，即将跳转到安全页面！");    top.location.href = self.location.href;}// Apache 配置：Header always append X-Frame-Options SAMEORIGIN// nginx 配置：add_header X-Frame-Options SAMEORIGIN;

5. 上传文件

原理：可能会被上传各种类型的非法软件。

防御：检测类型，检测大小。

6. zip *

原理：有些 zip 文件看起来很小，解压后非常大

防御：不要做这样的操作：对用户上传的压缩文件解压，处理，再压缩。因为你解压的时候，很可能你的服务器就被挤爆了。

7. session 劫持

原理：客户端和服务端通信时候，黑客抓包，获取 sessionid ，最终黑客与服务器通信。

防御:
 设置 HttpOnly，时常重设 sessionid。

8. 密码存储

$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true

9. 暴力破解

/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/

服务器安全

1. 修改 22 端口

vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器，不要忘记修改阿里云安全组

2. 修改 mysql root 名称

# 修改 mysql 数据库中的 user 表，然后 flush privileges

3. 禁止 root 远程登陆

vi /etc/ssh/sshd_configPermitRootLogin

相关推荐：

PHP安全地上传图片

PHP安全开发库详解

php安全配置记录和常见错误的详细总结介绍

以上是php安全實例詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！