学习PHP精粹，编写高效PHP代码之安全性

首页

后端开发

php教程

学习PHP精粹，编写高效PHP代码之安全性_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:28 AM

phpsqlsslxss会话劫持安全

一、过滤输入、避免输出

有时我们将短语“过滤输入、避免输出”缩写为FIEO，这已成为PHP应用程序的安全真言。

1、利用ctype进行验证

ctype：http://php.net/ctype

2、利用PCRE（Perl兼容的正则表达式）进行验证

PCRE：http://php.net/pcre

二、跨站脚本

跨站脚本通常简称为XSS，攻击载体以在应用程序输出中由用户提供的变量所在位置为目标，但该变量没有适当地转义。这允许攻击者注入他们选择的一个客户端脚本作为这个变量值的一部分。下面是代码受到这种类型攻击的示例：

<span><</span><span>form </span><span>action</span><span>="<?php echo $_SERVER['PHP_SELF'];?>"</span><span>></span>
    <span><</span><span>input </span><span>type</span><span>="submit"</span><span> value</span><span>="submit"</span> <span>/></span>
<span></</span><span>form</span><span>></span>

在线资源：

1、http://ha.ckers.org/xss.html

2、http://shiflett.org/articles/cross-site-scripting

3、http://seancoates.com/blogs/xss-woes

三、伪造跨站脚本

比方说，某个攻击者想从一个流行的在线商店中得到一个昂贵的商品而不用付钱。相反，他们想让一个毫不知情的受害者支付这笔金额。他们选择的武器是：一个伪造的跨站请求。这种攻击类型的目标就是让受害者发送一个请求到某个特定的网站，从而利用受害者在该网站已经注册的身份信息。

在线资源：

1、http://shiflett.org/articles/cross-site-request-forgeries

2、http://shiflett.org/articles/foiling-cross-site-attacks

四、会话固定

如前所示，用户会话是一个经常受到攻击的目标，这种对潜在的受害者和目标网站的识别能力使得一些攻击有机可乘。这里有3种攻击者获得有效会话标示符的方法。按难度顺序排列，它们分别是：

1、固定

2、捕获

3、预测

在线资源：

1、http://shiflett.org/articles/session-fixation

2、http://phpsec.org/projects/guide/4.html#4.1

3、http://www.owasp.org/index.php/Session_fixation

五、会话劫持

会话劫持这个词有些难懂，因为我们用它描述两件事情：

1、导致攻击者得以进入网站上与受害者账户相关联的会话，而不管他如何获取访问权的任何类型的攻击。

2、需要捕获一个已建立的会话标识符，而不是通过固定技术或预测取得会话标识符的特定类型攻击。

在线资源：

1、http://shiflett.org/articles/session-hijacking

2、http://shiflett.org/articles/the-truth-about-sessions

3、http://phpsec.org/projects/guide/4.html#4.2

六、SQL注入

这种类型攻击的性质与前面所讲过的“过滤输入、避免输出”有关。基本上，SQL注入非常类似于XSS，在XSS中，攻击对象使得应用程序认为用户输入的含义超过了它所代表的数据。XSS的目的是让那些输入作为客户端代码而被执行；而SQL注入的目的是让这些输入被认为是一个SQL查询，或者是查询的一部分。

在线资源：

1、http://shiflett.org/articles/sql-injection

2、http://phpsec.org/projects/guide/3.html#3.2

七、储存密码

在Web应用程序能有效处理数据库查询中用户输入的情况下，攻击者需使用更广泛的手段访问用户账户。一般来说，其中也包括获取受害者的访问凭证来访问他们的数据。

其中一个实现方法便是强行进入Web应用程序使用的数据库服务器。根据你使用何种数据库、数据库如何配置等相关信息，攻击者有很多的侵入方法。

在线资源：

1、http://php.net/mcrypt

2、http://www.openwall.com/phpass/

3、http://codahale.com/how-to-safely-store-a-password/

八、暴力破解攻击

对攻击者而言，侵入数据库或解密加密的密码技术门槛过高。在这种情况下，攻击者可能尝试使用一个脚本，模拟一个正常用户使用浏览器登录到Web应用程序的HTTP请求，他们用给定用户名和随机密码尝试登入，直到找到正确的密码。这种方式成为“暴力破解攻击”。

在线资源：

1、https://www.owasp.org/index.php/Brute_force_attack

2、http://en.wikipedia.org/wiki/Brute-force_attack

九、SSL

在线资源：

1、http://arst.ch/bgm

2、http://www.owasp.org/index.php/SSL_Best_Practices

PHP安全相关资源：

1、http://www.php.net/manual/en/security.php　　PHP手册中有关于各种安全问题的章节

2、http://phpsecurity.org/　　这是《Essential PHP Security》一书的相关网站

3、http://phpsec.org/projects/guide/　　PHP安全协会的项目之一就是《PHP Security Guide》

4、http://www.enigmagroup.org/　　该网站提供了针对Web应用程序和论坛的许多潜在攻击载体的相关信息和实用练习。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP的目的：构建动态网站Apr 15, 2025 am 12:18 AM

PHP用于构建动态网站，其核心功能包括：1.生成动态内容，通过与数据库对接实时生成网页；2.处理用户交互和表单提交，验证输入并响应操作；3.管理会话和用户认证，提供个性化体验；4.优化性能和遵循最佳实践，提升网站效率和安全性。

PHP：处理数据库和服务器端逻辑Apr 15, 2025 am 12:15 AM

PHP在数据库操作和服务器端逻辑处理中使用MySQLi和PDO扩展进行数据库交互，并通过会话管理等功能处理服务器端逻辑。1）使用MySQLi或PDO连接数据库，执行SQL查询。2）通过会话管理等功能处理HTTP请求和用户状态。3）使用事务确保数据库操作的原子性。4）防止SQL注入，使用异常处理和关闭连接来调试。5）通过索引和缓存优化性能，编写可读性高的代码并进行错误处理。

您如何防止PHP中的SQL注入？（准备的陈述，PDO）Apr 15, 2025 am 12:15 AM

在PHP中使用预处理语句和PDO可以有效防范SQL注入攻击。1)使用PDO连接数据库并设置错误模式。2)通过prepare方法创建预处理语句，使用占位符和execute方法传递数据。3)处理查询结果并确保代码的安全性和性能。

PHP和Python：代码示例和比较Apr 15, 2025 am 12:07 AM

PHP和Python各有优劣，选择取决于项目需求和个人偏好。1.PHP适合快速开发和维护大型Web应用。2.Python在数据科学和机器学习领域占据主导地位。

PHP行动：现实世界中的示例和应用程序Apr 14, 2025 am 12:19 AM

PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务：用于购物车功能和支付处理。2)内容管理系统：用于动态内容生成和用户管理。3)API开发：用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践，PHP应用的效率和可维护性得以提升。

PHP：轻松创建交互式Web内容Apr 14, 2025 am 12:15 AM

PHP可以轻松创建互动网页内容。1)通过嵌入HTML动态生成内容，根据用户输入或数据库数据实时展示。2)处理表单提交并生成动态输出，确保使用htmlspecialchars防XSS。3)结合MySQL创建用户注册系统，使用password_hash和预处理语句增强安全性。掌握这些技巧将提升Web开发效率。