
课程咨询: 400-996-5531 / 投诉建议: 400-111-8989
认真做教育 专心促就业
随着互联网的不断发展,越来越多的企业和用户都开始关注网络安全问题,而今天我们就从PHP编程代码的安全性上做一个简单的分析。
1、禁用那些使安全性难以实施的PHP设置
已经知道了不能信任用户输入,还应该知道不应该信任机器上配置PHP的方式。例如,要确保禁用register_globals。如果启用了register_globals,就可能做一些粗心的事情,比如使用$variable替换同名的GET或POST字符串。通过禁用这个设置,PHP强迫您在正确的名称空间中引用正确的变量。要使用来自表单POST的变量,应该引用$_POST['variable']。这样就不会将这个特定变量误会成cookie、会话或GET变量。
2、如果不能理解它,就不能保护它
一些开发人员使用奇怪的语法,或者将语句组织得很紧凑,形成简短但是含义模糊的代码。这种方式可能效率高,但是如果您不理解代码正在做什么,那么就无法决定如何保护它。
3、缓冲区溢出攻击
缓冲区溢出攻击试图使PHP应用程序中(或者更精确地说,在Apache或底层操作系统中)的内存分配缓冲区发生溢出。请记住,您可能是使用PHP这样的高级语言来编写Web应用程序,但是终还是要调用C(在Apache的情况下)。与大多数低级语言一样,C对于内存分配有严格的规则。
缓冲区溢出攻击向缓冲区发送大量数据,使部分数据溢出到相邻的内存缓冲区,从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。
4、跨站点脚本攻击
在跨站点脚本(XSS)攻击中,往往有一个恶意用户在表单中(或通过其他用户输入方式)输入信息,这些输入将恶意的客户端标记插入过程或数据库中。例如,假设站点上有一个简单的来客登记簿程序,让访问者能够留下姓名、电子邮件地址和简短的消息。恶意用户可以利用这个机会插入简短消息之外的东西,比如对于其他用户不合适的图片或将用户重定向到另一个站点的Javascrīpt,或者窃取cookie信息。幸运的是,PHP提供了strip_tags()函数,这个函数可以清除任何包围在HTML标记中的内容。
【免责声明】:本内容转载于网络,转载目的在于传递信息。文章内容为作者个人意见,本平台对文中陈述、观点保持中立,不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请在707945861群中学习了解。