php开发安全.ppt

4.CSRF CSRF简介 4.CSRF CSRF原理 4.CSRF-防止出现CSRF CSRF如何防止出现（One-Time Tokens(不同的表单包含一个不同的伪随机值)） 在实现One-Time Tokens时，需要注意一点：就是“并行会话的兼容”。如果用户在一个站点上同时打开了两个不同的表单，CSRF保护措施不应该影响到他对任何表单的提交。考虑一下如果每次表单被装入时站点生成一个伪随机值来覆盖以前的伪随机值将会发生什么情况：用户只能成功地提交他最后打开的表单，因为所有其他的表单都含有非法的伪随机值。必须小心操作以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点 * * * * web开发安全培训 常见的安全问题以及解决方案 pyphrb 一.常见的安全问题 1.注入（sql注入） 2.失效的身份认证和会话管理 3.跨站脚本（XSS） 4.跨站请求伪造(缩写为：CSRF/XSRF。) 5.直接引用不安全的对象(水平越权跟垂直越权) 6.敏感信息泄漏 7.缺少功能级访问控制(未授权) 8.上传安全防御 注入 2.1.1描述 注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。注入漏洞通常能在SQL查询、L