第38章_常见的程序漏洞和防范措施.pdfVIP

CHAPTER 38 38 章 常见的程序漏洞和防范措施 常见的程序漏洞和防范措施 网络的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散的特性。 由此导致信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者 受到计算机病毒的感染。因此，了解 见的程序漏洞及相应防范措施就显得非 重要。 38.1 漏洞的产生及其危害 在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存。 但是现在人们将各种重要的信息 （如国家机密、商业秘密、个人隐私等）存放在没有安全 防范措施的计算机中，这就像用不上锁的文件柜来存放机密文件，很容易受到内部窃贼、 计算机病毒和网络黑客的攻击，具有极大的危险性。一旦发生重大国际冲突，后果将不堪 设想。 目前，我国计算机安全防护能力处于发展的初级阶段，许多计算机基本上处于不设防 状态。在安全存储方面，无论防范意识还是防范手段几乎是一片空白。每年各种重要数据、 文件的滥用、泄露、丢失、被盗，给国家、 业和个人造成的损失数以亿计。这还不包括 那些还没有暴露出来的深层次的问题！计算机安全问题解决不好，不仅 造成巨大的经济 损失，甚至会危及国家的安全和社 的稳定。 PHP 中的漏洞可以使用户直接了解到PHP 服务器的机制，以达到获取用户信息，进行 非法注册等目的。 38.2 各种漏洞的产生与防范 任何程序都 存在各种各样的漏洞，PHP 也不例外。本节将介绍PHP 程序中 见的几 种漏洞及其对应的防范措施。 PDF 文件使用 pdfFactory Pro 试用版本创建 大道PHP ：LAMP+Zend+开源框架整合开发与实战 38.2.1 本地文件包含漏洞 PHP 代码在编写时提供了一个方便的函数：include()，此函数支持将一些常用的 PHP 代码放入专门的PHP 文件中，然后将此文件引入当前页面中从而运行其中代码。 使用 include()函数确实非 方便，但有时可能 以变量的形式对此函数的参数进行赋 值，代码如下： ?php if (isset($somefile)) { include($somefile); }else { if( ) { $somefile=a.php; }else { $somefile=b.php; } include($somefile); } ? 这种情况下如果在php.ini 文件中设置允许用户注册全局变量 （将register_globals 参数 的值设置为on ），用户可以直接在地址 中对参数$somefile 进行赋值来访问服务器上的任 何文件。 解决包