来源:自学PHP网 时间:2015-04-15 15:00 作者: 阅读:次
[导读] 前面我介绍了暴力破解攻击(Brute Force),那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给...
前面我介绍了暴力破解攻击(Brute Force), 那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。
所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给黑客朋友留下了可乘之机。 对于web命令攻击我就不过多的介绍了,我给两个介绍web命令攻击的链接吧。 英文的 https://www.owasp.org/index.php/Testing_for_Command_Injection_(OWASP-DV-013) 中文的 http://www.2cto.com/Article/201208/146517.html 一 、 下面我们来看一下很危险的代码。 这段代码没有对数据进行任何过滤就直接使用,是很危险的。比如用户输入的不是正常的ip(hh.kk.lll.ii),这段代码就惨烈了。二、下面这段代码就对数据进行了初级过滤,我们来看一下。 我们看到这段代码用str_replace函数对ip进行了过滤,就是吧非法字符替换成了空字符。可是处理不了这种情况,ee.ee.ee.ee 三、下面我们来看安全的代码 这段代码验证了所获得ip是否是数字组成的,而且全面非法ip执行,是最安全的代码。 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com