6个常见的php安全性攻击.doc

下载文档

3
0
约3.72千字
约 5页
2017-04-23 发布于重庆
举报
版权申诉
保障服务

6个常见的php安全性攻击.doc

1、本文档共5页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

6个常见的php安全性攻击

6个常见的 PHP 安全性攻击了解常见的PHP应用程序安全威胁，可以确保你的PHP应用程序不受攻击。因此，本文将列出 6个常见的 PHP 安全性攻击，欢迎大家来阅读和学习。 1、SQL注入 SQL注入是一种恶意攻击，用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的，它具有相同的SQL注入机制，但只针对shell命令。 $username = $_POST[username]; $query = select * from auth where username = .$username.; echo $query; $db = new mysqli(localhost, demo, ‘demo, ‘demodemo); $result = $db-query($query); if ($result $result-num_rows) { nbsp;nbsp;nbsp; echo br /Logged in successfully; } else { nbsp;nbsp;nbsp; echo br /Login failed; } 上面的代码，在第一行没有过滤或转义用户输入的值($_POST[username])。因此查询可能会失败，甚至会损坏数据库，这要看$username是否包含变换你的SQL语句到别的东西上。防止SQL注入选项：使用mysql_real_escape_string()过滤数据手动检查每一数据是否为正确的数据类型使用预处理语句并绑定变量使用准备好的预处理语句分离数据和SQL逻辑预处理语句将自动过滤(如：转义) 把它作为一个编码规范，可以帮助团队里的新人避免遇到以上问题　 $query = select name, district from city where countrycode=?; if ($stmt = $db-prepare($query) ) { nbsp;nbsp;nbsp; $countrycode = hk; nbsp;nbsp;nbsp; $stmt-bind_param(s, $countrycode); nbsp;nbsp;nbsp; $stmt-execute(); nbsp;nbsp;nbsp; $stmt-b ind_result($name, $district); nbsp;nbsp;nbsp; while ( $stmt ($stmt-fetch() ){ nbsp;nbsp;nbsp; nbsp;nbsp;nbsp; echo $name., .$district; nbsp;nbsp;nbsp; nbsp;nbsp;nbsp; echo br /; nbsp;nbsp;nbsp; } nbsp;nbsp;nbsp; $stmt-close(); } 2、XSS攻击 XSS(跨站点脚本攻击)是一种攻击，由用户输入一些数据到你的网站，其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面，这个脚本将被执行。接收用户提交的文本内容 ?php if (file_exists(comments)) { nbsp;nbsp;nbsp; $comments = get_saved_contents_from_file(comments); } else { nbsp;nbsp;nbsp; $comments = ; } if (isset($_POST[comment])) { nbsp;nbsp;nbsp; $comments .= br / . $_POST[comment]; nbsp;nbsp;nbsp; save_contents_to_file(comments, $comments); } ? 输出内容给(另一个)用户 form action=xss.php method=POST Enter your comments here: br / textarea name=comment/textarea br / input type=submit value=Post comment / /formhr /br / ?php echo $comments; ? 将会发生什么事? 烦人的弹窗刷新或重定向损坏网页或表单窃取cookie AJAX(XMLHttpRequest) 防止XSS攻击为了防止XSS攻击，使用PHP的htmlentities()函数过滤再输出到浏览器。htmlentities()的基