欢迎您,零度科技专业海外服务器租用
公司电话: 24小时电话: 

当前位置:首页>网站建设教程>PHP教程

目录导航

PHP开发web应用安全总结

香港硬防(2G)机房 发布于 2013-03-21   安全设置web安全php
PHP教程

XSS跨站脚本
概念:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
危害:
盗取用户COOKIE信息。
跳转到钓鱼网站。
操作受害者的浏览器,查看受害者网页浏览信息等。
蠕虫攻击。
描述:反射型跨站。GET或POST内容未过滤,可以提交JS以及HTML等恶意代码。
代码:
<?php echo $_GET['msg']; ?>
//正常URL
user.php?msg=henhao
//带JS的URL
user.php?msg=<script>alert(1)</script>
//恶意跳转URL
user.php?msg=<script>window.history.back(-1);</script>
解决方法:
输出过滤,php端输出到view的模板页面上的数据都需要经过过滤:
//输出过滤HTML JS标签
$var = str_replace(array('<iframe','<meta','<script'), '', $var); $var = str_replace(array('..',')','<','='), array('..',')','<','='), $var);  
$var = addslashes($var); 
CSRF跨站攻击
概念:CSRF跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用 受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
危害:强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
例子:
<img src=“http://www.xxx.com /addfriend.php?id=123”/> 
1. 上面是一个图片的html标签,但是src中是一个添加id为123好友的新增好友链接。
2. 恶意用户可以将这段代码植入其它网站网页上面,甚至可以img设置为0,0,让用户不知不觉中点击这个链接,达到用户并不像加这个人好友,但是添加的目的。
3. 当很多人都无意加了id为123这个人为好友的时候,id为123的恶意用户就有权限来查看这些人的信息,甚至可以发送很多恶意的信息,达到恶意用户的目的。
解决方法:
1. http://www.xxx.com /addfriend.php?id=123 使用POST方法会相对安全一点。
2. 采用类似随即码或者令牌的形式,让用户操作唯一性。 (每次用户登录网站随机生成一个token,存放在cookie中,用户的所有操作中都需要经过token验证)
flash安全问题
例子:
http://images.sohu.com/bill/s2010/liulin/nokia/1602600902.swf?clickthru=javascript:alert(1)
解决方法:
在网站根目录中,添加crossdomain.xml文件,这个文件主要是控制flash的域访问。
淘宝的:http://www.taobao.com/crossdomain.xml
<?xml version="1.0" ?>  
<cross-domain-policy>  
<allow-access-from domain="*.taobao.com" />  
<allow-access-from domain="*.taobao.net" />  
<allow-access-from domain="*.taobaocdn.com" />  
<allow-access-from domain="*.tbcdn.cn" />  
<allow-access-from domain="*.allyes.com" />  
</cross-domain-policy> 
sql注入安全问题

转载自零度科技:http://www.ldisp.com/a/php/2013/1499.shtml

上一篇:Fatal error: Call to undefined function mysql_connect()
下一篇:PHP正则提取或替换img标记任意属性

 
了解零度?

零度科技主营全球服务器租用,如果您有服务器租用需求请联系

海外服务器租用

推荐香港、美国、韩国。提供站群服务器、高防服务器租用

海外特价服务器

关注零度特价服务器频道,了解全球特价服务器。

0

业务咨询

    技术服务

      特价活动
        全站搜索
        热门搜索:
        会员
        0通知
        客服
        0特价
        搜索
        TOP
        香港高防服务器,远程桌面,韩国服务器,nginx,反向代理