本站已运行

攻城狮论坛

作者: 合肥清默
查看: 5291|回复: 61

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

常见Php脚本漏洞形成防范详细解析

  [复制链接]
查看: 5291|回复: 61
开通VIP 免金币+免回帖+批量下载+无广告

PHP网页的安全性问题


. d: @) F$ j! p* G! u& S针对PHP的网站主要存在下面几种攻击方式:
. S5 a- h' o$ O' e1 e: W1.命令注入(Command Injection)8 A4 R, z& I/ l" H
2.eval注入(Eval Injection)% l4 S; x- `: z( x
3.客户端脚本攻击(Script Insertion)! M9 l8 Q! I/ c# N" W! x1 T1 }
4.跨网站脚本攻击(Cross Site Scripting, XSS)
$ k. I% G& P, b1 ]! e& J6 j5.SQL注入攻击(SQL injection)
# r# }: {8 C6 R1 _+ a; f) m+ u6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)) w- S) n9 B2 M4 R( T
7.Session 会话劫持(Session Hijacking)( U" |# n+ Q( q/ X
8.Session 固定攻击(Session Fixation)
) i" u3 h: G4 X9.HTTP响应拆分攻击(HTTP Response Splitting)+ ]/ b! b+ m6 W0 @) H
10.文件上传漏洞(File Upload Attack)
% i' c9 ?8 X1 ?7 R9 I" o7 |11.目录穿越漏洞(Directory Traversal)
, ]& w) I7 s' m12.远程文件包含攻击(Remote Inclusion)6 F- s' Y2 G( w- d* y' K! S) J
13.动态函数注入攻击(Dynamic Variable Evaluation)8 @7 n1 c9 [  v! s; m8 i
14.URL攻击(URL attack)- T- q1 b0 S9 e& |" q
15.表单提交欺骗攻击(Spoofed Form Submissions)
- u+ F$ k* a2 d  q. Z+ @+ i16.HTTP请求欺骗攻击(Spoofed HTTP Requests)
6 z$ v2 v, Y8 j+ |
/ d$ g3 ]& b5 P8 N% ?几个重要的php.ini选项
# l6 c3 t% v4 t- F5 l5 M/ ^Register Globals" K" Z- A2 B0 x
php>=4.2.0,php.ini 的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患./ q# M5 b' U7 H4 A) K+ {
例1:0 q* j6 D, c$ q9 O
//check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作) W; w6 r# @( V- s& U) t
//ex1.php; j9 d; ]9 _5 \: |$ b
1 i; K2 M2 J* Z$ B  w. g* n
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

郎漫 [Lv8 技术精悍] 发表于 2013-10-13 09:30:38 | 显示全部楼层
掌声鼓励!:lol
回复 支持 反对

使用道具 举报

drpalm [Lv8 技术精悍] 发表于 2013-10-13 09:30:38 | 显示全部楼层
确实不错,顶先
回复 支持 反对

使用道具 举报

tashi [Lv8 技术精悍] 发表于 2013-10-13 19:52:38 | 显示全部楼层
路过,学习下,感谢攻城狮论坛
回复 支持 反对

使用道具 举报

该用户不存在 [VIP@钻石] 发表于 2013-10-13 22:56:43 | 显示全部楼层
学习了,谢谢分享、、、
回复 支持 反对

使用道具 举报

isslee [Lv8 技术精悍] 发表于 2013-10-17 13:52:02 | 显示全部楼层
回复 支持 反对

使用道具 举报

sadasz [Lv8 技术精悍] 发表于 2013-10-18 13:31:07 | 显示全部楼层
有道理。。。感谢攻城狮论坛
回复 支持 反对

使用道具 举报

红色14# [Lv8 技术精悍] 发表于 2013-10-19 11:15:14 | 显示全部楼层
有道理。。。感谢攻城狮论坛
回复 支持 反对

使用道具 举报

红木电脑 [VIP@钻石] 发表于 2013-10-19 19:43:22 | 显示全部楼层
帮你顶下哈!!
回复 支持 反对

使用道具 举报

芙英 [Lv8 技术精悍] 发表于 2013-10-20 12:50:40 | 显示全部楼层
有道理。。。感谢攻城狮论坛
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 14:52 , Processed in 0.107705 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn