PHP开发实战视频教程第讲文件与服务器安全课件.ppt

北风网工程实战培训;文件上传;这些信息都来自浏览器，严格点说，来自客户端，但不能确定构造这个HTTP包的是浏览器，或许是坏人修改了这个包。 程序使用客户端提交的信息作为判断依据 content-type:t ext/plain也改成了image/pjpeg, filename :1234.php[\0].jpg,其中\0为十六进制的00 当保存的时候，文件名的null字符之后的字符串将被舍弃，只保存前面的字符。那么，这个文件会被保存成一个php的文件。;DB权限只对固定web开放对于公用库，多个站点、应用都要访问的情况，建议只开放对主应用开放，其他应用走web api+密钥方式访问。以减小风险，防止局部应用平安性较差，造成DB用户密码泄漏。同时，减小耦合度，防止因DB效劳器迁移等变更，漏掉某分应用配置信息变更带来的问题。统一接口，统一控制，更好的控制各个应用标准不一，造成数据格式较为混乱的情况。;暴力猜解在站点登录页，不断尝试不同的用户名，密码组合，尝试登录，直到登录成功。 数据库被窃取，复原用户密码一些网站会明文保存用户密码，对于这种，攻击者无需复原。多数网站会加密存储用户密码，即使数据库泄漏，恶意攻击者也需要一定的时间，精力去组合密码，加密之后与用户密码比照，确定是否正确。;用户密码保存用户密码从最初的明文保存到后来的MD5 加密一次，到二次加密，以及discuz的 salt做法比较常见，对于彩虹表来说，这些或许都可以直接从彩虹表内查出原来的明文密码。建议取当前用户不变的信息进行变换，移位等方式加密。;比方md5(user+md5(pass)+salt+系统密钥)，甚至类似身份证算法，根据用户名以及salt的字符组合，计算生成一个字符，之后到密钥里取出一个字符串，放入计算的密码中，生成密码MD5 hash字符串。这样密码的平安需要用户名、用户密码、密钥字符串、系统分配的SALT、权字符算法等五个因素生成。增加了攻击者获取原始密码的难度等等。;如何防范暴力登录不妨看下腾讯的做法。当用户输入QQ号之后，浏览器发送一个AJAX请求至效劳器，效劳器会判断当前QQ号此时登录的IP段(或者地理位置)是否是他经常登录的IP段，如果是，那么返回此次验证码的字符串，???后JS会取返回的验证码字符串作为form表单的一个参数提交过去。如果当前QQ号此次登录不是常在的IP段，那么不直接返回验证码。JS再将验证码图片显示出来。用户体验较好，平安性也较好。; 没有用户常登录IP库少量的用户登录IP库，假设采用腾讯的做法，势必会使用户体验更差，计算错误，经常弹出验证码。建议初次登录不提示验证码，密码错误1次之后，再提示验证码。连续错误一定次数之后，锁定帐号一段时间，来提高用户帐号平安性。;渗透测试工具;平安扫描工具;平安扫描工具;360网站平安检测;总结; 欢送访问我们的官方网站