如何防止php漏洞,关于PHP的漏洞以及如何防止PHP漏洞?

发布时间:2021-12-03 11:08:40

漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露、cookie伪造、CSRF(跨站请求)等。这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何有效防止这些漏洞。


1.xss + sql注入(关于xss攻击详细介绍)


其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。用PHP写个过滤函数,可由如下所示:


$_REQUEST = filter_xss($_REQUEST);


$_GET = filter_xss($_GET);


$_POST = filter_xss($_POST);


$_COOKIE = filter_xss($_COOKIE);


$_POST = filter_sql($_POST);


$_GET = filter_sql($_GET);


$_COOKIE = filter_sql($_COOKIE);


$_REQUEST = filter_sql($_REQUEST);


最简单的filter_xss函数是htmlspecialchars()


最简单的filter_sql函数是mysql_real_escape_string()


当然,谁都知道这种过滤filter_sql(详细防止sql注入)只能过滤字符型和搜索型的注入,对于数字型是没有办法的,但也说明做了这层过滤后,只需在后面注意数字型的SQL语句就可以了,遇到了加intval过滤就可以了,这就变得容易多了。


2. 命令执行


对于命令执行,可以从关键字入手,总共可分为3类


(1) php代码执行 :eval等


(2)shell命令执行:exec、passthru、system、shell_exec等


(3) 文件处理:fwrite、fopen、mkdir等


对于这几类需要注意其参数是否用户可控。


3.上传漏洞


对于上传漏洞,也是重点关注的地方,要仔细分析它的处理流程,针对上传的绕过方式是很多的,最保险的方式:在保存文件是采用文件名随机命名和后缀白名单方式。其次要注意的一点是上传文件的地方可能不止一处,不要有遗漏,可能会碰到这样的情况,突然在某个目录里面包含了一个第三方的编辑器在里面。


文件包含漏洞涉及的函数如include() 、include_once()、require()、require_once()、file_get_contents()等


最常见的还是出在下载文件功能函数,例如download.php?file=../../../etc/passwd 这种类型中。


4. 权限绕过


权限绕过可分为两类吧


(1)后台文件的未授权访问。后台的文件没有包含对session的验证,就容易出现这样的问题


(2)未作用户隔离,例如mail.php?id=23显示了你的信件,那么换个ID, mail.php?id=24就查看到了别人的信件,编写代码是方便,把信件都存在一个数据表里,id统一编号,前端展现时只需按id取出即可,但未作用户隔离,判定归属,容易造成越权访问。


这样的例子是很常见的,给某银行做评估是就经常发现这种漏洞。


5. 信息泄露


信息泄露算是比较低危的漏洞了,比如列目录这种就属于部署问题,而与代码审计无关了,而像暴路径、暴源码这种是需要防止的。曾经遇到这样的代码


表面上似乎没问题,可是当请求变为 xx.php?a[]=1时,即参数变为数组的时候,就会发生错误以致路径泄露,而用isset判断则不会,当然一个个防太麻烦,建议在配置文件中关闭错误提示,或者在公共文件中加入如下代码以关闭错误显示功能:


之前PHP点点通(phpddt.com)就有一篇文章:关于PHP防止漏洞策略 ,介绍了register_globals 的危害以及魔术引用Magic Quotes使用说明。


以上就介绍了关于PHP的漏洞以及如何防止PHP漏洞?,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。



本文原创发布php中文网,转载请注明出处,感谢您的尊重!

相关文档

  • 关于科学的教学计划范文
  • 我家的变化
  • 夫妻不在一起感情会变淡吗为什么结婚后感情淡了
  • 深圳创业补贴
  • 部队励志故事演讲
  • 个性网名超拽繁体字 繁体字qq个性昵称
  • 2021观智慧爸妈第一课有感
  • CCIE之WAN
  • 南京冬至吃什么
  • 2020年宁夏高考什么时候报志愿
  • 宣城市区有哪些景点?宣城重要景点介绍
  • 2016年6月英语四级写作常用的50个句型
  • 公共基础知识公文部分
  • 北师大版五年级下学期数学期中试题
  • 我学会了泡茶作文
  • c语言中 %=、 |=、 &= 、^=、 !=、 &&、 || 、! 、| 、^ 、& 、~ 都是什么意思?
  • 毕业生推荐表班主任评语
  • 尽一份孝心初二作文
  • 二年级踏青作文三篇 踏青作文200字二年级
  • 荣耀8青春版什么颜色的好看
  • 一种在局域网中设置某一设备使用固定ip地址,其余设备使用自动分配地址的方法
  • 黄桃罐头有营养吗答案是肯定的
  • Go-运算符总结(算术、关系、逻辑、赋值、位运算符等)
  • 项目管理:怎样的项目任务分解法才是最有效的?
  • 【推荐】读西游记有感作文300字汇编7篇
  • 定制Grails的web.xml
  • Windows重装系统后,mysql数据库无法安装问题(丢失.dll文件或提示你修改计算机名……),请先按以下方法尝试,如果不行,欢迎交流
  • 涂鸦毁了家庭清白?贝朵拉家居饰品笑看熊孩子“作妖”
  • 一条鱼的烦恼
  • 简短的学生会竞选稿
  • 猜你喜欢

  • 2015_2016高中历史第3单元从人文精神之源到科学理性时代第13课挑战教皇的权威课时作业岳麓版选修3
  • 情人节活动策划工作总结汇报计划经典创意高端动态PPT模板
  • 阜新热电厂劳动服务公司汽车修理厂企业信用报告-天眼查
  • 国培——你是我心内的一首“歌”
  • 检验试用期个人工作总结(多篇范文)与棚户区(危旧房)改造工作总结汇编
  • 上海房屋租赁备案登记要提交什么资料
  • 中兴银个人开户申请表
  • 六年级语文上册类文阅读第一单元1草原训练新人教版
  • (新人教版)中考物理复*九年级物理18.3 测量小灯泡的电功率 同步练*3(含答案)-非常好
  • 1.1.1 职位说明书管理办法
  • 江苏省盐城市大丰市万盈第二中学八年级英语下册 Unit 6 Sunshine for all Reading 2课件 (新版)牛津版
  • 《青春之歌》中的优美段落精选
  • 道路改建工程安全监理实施细则
  • 乐清市郎峰电器科技有限公司(企业信用报告)- 天眼查
  • 删除手机使用情况统计
  • 安装显卡电脑蓝屏怎么办
  • 杭锦旗森泰隆农资有限责任公司企业信用报告-天眼查
  • 2018-2024年中国聚合氯化铝行业发展现状与投资战略规划可行性报告
  • 粤教版高中语文选修为世界工作同步测试课后巩固传记选读
  • MOLECULAR STRUCTURE OF NUCLEIC ACIDS
  • 沁阳:三农民违法采矿被刑拘
  • 湖北省武汉华中师范大学第一附属中学2019年自主招生考试数学试题 Word版含解析
  • 小学作文 我收获了信心-精品
  • springboot中mongoTemplate的使用
  • 湖州市商业食品有限公司湖东禽类定点屠宰加工店(企业信用报告)- 天眼查
  • linux下boost的一个扩展线程池-threadpool-的学习
  • 武汉大学2014年招聘心理健康教育教师公告
  • 【2019最新】八年级物理上册1、2乐音的特征学案1无答案新版苏科版
  • 《中国肿瘤外科杂志》征稿通知
  • 杞县鹏晖建筑工程劳务有限公司企业信用报告-天眼查
  • 成功而稳定的植物群落配
  • 专四写作必背经典句型
  • 初中英语课堂师生互动策略探究
  • 圆状垫片冲压课程设计说明书
  • MSCT在早期诊断强直性脊柱炎骶髂关节病变应用价值论文
  • 年终绩效考核目标完成情况自查报告
  • 2018耐克新款颜色耐克2018新款CNY系列发售
  • 锐龙r5 4600h和r74800h哪个好 锐龙r5 4600h和r74800h对比差距大吗
  • 北师大版高中数学选修(2-2)-4.3《定积分的简单应用》第二课时参考课件
  • 为什么小狗总是喜欢舔我
  • 最新-微笑服务成果心得体会 精品
  • 安徽省律师协会关于召开省律协参政议政专门委员会会议的通知
  • 电脑版