6个常见的的 PHP 安全性攻击.doc

下载文档 降价啦

1
0
约3.72千字
约 6页
2018-02-19 发布于浙江
举报
版权申诉
保障服务

6个常见的的 PHP 安全性攻击.doc

1、本文档共6页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

6个常见的的 PHP 安全性攻击

6个常见的 PHP 安全性攻击了解常见的PHP应用程序安全威胁，可以确保你的PHP应用程序不受攻击。因此，本文将列出 6个常见的 PHP 安全性攻击，欢迎大家来阅读和学习。 ? 1、SQL注入 SQL注入是一种恶意攻击，用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的，它具有相同的SQL注入机制，但只针对shell命令。 ? $username = $_POST[username]; $query = select * from auth where username = .$username.; echo $query; $db = new mysqli(localhost, demo, ‘demo, ‘demodemo); $result = $db-query($query); if ($result $result-num_rows) { nbsp;nbsp;nbsp; echo br /Logged in successfully; } else { nbsp;nbsp;nbsp; echo br /Login failed; } ? 上面的代码，在第一行没有过滤或转义用户输入的值($_POST[username])。因此查询可能会失败，甚至会损坏数据库，这要看$username是否包含变换你的SQL语句到别的东西上。 ? 防止SQL注入 ? 选项： ? 使用mysql_real_escape_string()过滤数据 ? 手动检查每一数据是否为正确的数据类型 ? 使用预处理语句并绑定变量 ? 使用准备好的预处理语句 ? 分离数据和SQL逻辑 ? 预处理语句将自动过滤(如：转义) ? 把它作为一个编码规范，可以帮助团队里的新人避免遇到以上问题 ? 　 $query = select name, district from city where countrycode=?; if ($stmt = $db-prepare($query) ) { nbsp;nbsp;nbsp; $countrycode = hk; nbsp;nbsp;nbsp; $stmt-bind_param(s, $countrycode); nbsp;nbsp;nbsp; $stmt-execute(); nbsp;nbsp;nbsp; $stmt-bind_result($name, $district); nbsp;nbsp;nbsp; while ( $stmt ($stmt-fetch() ){ nbsp;nbsp;nbsp; nbsp;nbsp;nbsp; echo $name., .$district; nbsp;nbsp;nbsp; nbsp;nbsp;nbsp; echo br /; nbsp;nbsp;nbsp; } nbsp;nbsp;nbsp; $stmt-close(); } ? ? 2、XSS攻击 XSS(跨站点脚本攻击)是一种攻击，由用户输入一些数据到你的网站，其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面，这个脚本将被执行。 ? 接收用户提交的文本内容 ? ?php if (file_exists(comments)) { nbsp;nbsp;nbsp; $comments = get_saved_contents_from_file(comments); } else { nbsp;nbsp;nbsp; $comments = ; } ? if (isset($_POST[comment])) { nbsp;nbsp;nbsp; $comments .= br / . $_POST[comment]; nbsp;nbsp;nbsp; save_contents_to_file(comments, $comments); } ? ? ? 输出内容给(另一个)用户 ? form action=xss.php method=POST Enter your comments here: br / textarea name=comment/textarea br / input type=submit value=Post comment / /formhr /br / ? ?php echo $comments; ? ? ? 将会发生什么事? ? 烦人的弹窗 ? 刷新或重定向 ? 损坏网页或表单 ? 窃取cookie ? AJAX(XMLHttpRequest) ? 防止XSS攻击 ? 为了防止XSS攻击，使用PHP的htmlentities()函数过滤再输出到浏览器。htmlentities()的基本用法