`
chinacode
  • 浏览: 29461 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

php 安全问题

    博客分类:
  • php
阅读更多

做web开发,相信搭建都知道一些安全基本知识,”千万不能相信客户端数据“。而php又是一种弱类型语言。很多人在开发过程中忽略了类型转换,参数过滤直接量成不可估量的后果。

不使用过滤函数可能出现以下情况:

数据库被(sql)注入。直接可以导致你的系统崩溃,系统数据丢失,用户信息丢失。网站被挂马,遇到文件处理则可以将你的网站文件删除。

另外值得一提的是很多人认为开启php安全模式就万事大吉了。其实不然,很多注入者往往绕过正面,进行侧面进攻。

使用 0×7e,0×27等(ASCII码)字符串来充当引号,而php又无法过滤。注入的一般方式都是在参数里面加入很多mysql sql语法,去获取敏感数据信息。

exp:

and(select1from(select count(*),concat((select(select(select concat(0x7e,0x27,phpcms_member.username,0x27,0x7e)from phpcms_member limit0,1))from information_schema.tableslimit0,1),floor(rand(0)*2))from information_schema.tablesgroupby x)a)and1=1

mysql information_schema.tables 所有用户都可见可查,能查出所有表结构信息,数据库信息。

php开源系统很多,很多开源系统大家知道数据结构,已级敏感信息表。(这里当然也包括不法分子)

这里指的敏感信息:往往是一些用户信息,管理端信息。现在md5的穷举一直在进行着。很多的md5加密之后的密码仍然能被解密成明文。

很多系统都做了相应的安全提升。

下面介绍以下常见手段:

使用过滤函数,php filter 安全过滤函数.md5(  md5(‘用户密码’) . ‘私钥’ ) 得出加密结果。常用的php开源系统后台一定要修改目录名。很多系统后台直接使用admin作为后台入口。不要将phpmyadmin等数据库操作软件安置在网站可见目录。

等等。。之所以这样是由于现在大量存在扫描工具去扫描这样的管理端。

下面是惊心的一张图

 

mysql 注入

mysql 注入

 

mysql 注入

出处: 马丁博客http://www.blags.org/

本文链接地址: http://www.blags.org/php-security-issue/


 

分享到:
评论

相关推荐

    PHP安全问题:远程溢出、DoS、safe_mode绕过漏洞.pdf

    ### PHP安全问题详解:远程溢出、DoS与safe_mode绕过漏洞 #### Web服务器安全:构建防御的第一道防线 Web服务器作为承载PHP应用程序的基础,其安全性至关重要。确保Web服务器安全,尤其是Apache这类常用服务器,是...

    PHP 安全问题入门:10 个常见安全问题 + 实例讲解.pdf

    PHP 安全问题入门:10 个常见安全问题 + 实例讲解.pdf

    实例分析10个PHP常见安全问题

    这篇文章主要探讨了10个常见的PHP安全问题,并提供了实例代码以供学习和参考。以下是对这些安全问题的详细解析: 1. **SQL注入**:这是最常见的攻击手段之一,攻击者通过构造特殊的输入,使应用程序执行非预期的SQL...

    PHP安全问题入门

    有时候,您的业务可能涉及到 PHP 应用程序的安全性。当您遇到审计任务时,您知道如何执行查找吗?本系列将带您进入PHP,并帮您在一定程序上了解它,让您在进行安全审计时知道查找什么。

    PHP_saomiao.zip_php 安全

    总之,"PHP_saomiao.zip"工具旨在帮助我们更好地理解并解决PHP安全问题,通过定期扫描和修复,确保网站的稳定性和用户数据的安全。在实际工作中,结合良好的编程习惯和定期的安全审查,是构建一个安全的PHP环境的...

    php360安全检测包

    这个包可能包含了各种安全扫描器、漏洞检测模块以及针对常见PHP安全问题的解决方案。"360_safe3.php"很可能是这个工具的核心脚本,负责执行安全检查和分析。"使用说明.txt"则提供了关于如何使用该工具的详细指导,...

    PHP安全经典基础教程

    然而,随着技术的发展,PHP安全问题变得越来越重要。本教程《PHP安全经典基础教程》旨在帮助初学者和有一定经验的开发者理解并掌握PHP的安全基础知识,以避免常见的安全漏洞。 教程内容可能涵盖以下几个核心知识点...

    php 漏洞分析

    **四、其他PHP安全问题** 1. 文件包含漏洞:不当的文件包含可能导致攻击者读取、执行服务器上的任意文件。避免使用动态文件名,使用绝对路径而非相对路径,启用open_basedir限制文件访问范围。 2. 不安全的函数...

    php安全设置(涉及到本身程序的安全问题)

    PHP的旧版本存在一些已知的安全问题,因此推荐使用最新稳定版以减少漏洞的暴露。其中,SQL Injection是PHP应用中常见的安全威胁,它允许攻击者通过注入恶意SQL语句来窃取、篡改或破坏数据库。为防范此类攻击,除了...

    PHP安全配置 如何将PHP配置的更安全

    以下是一些重要的PHP安全配置步骤: 1. **启用安全模式**:安全模式是PHP的一个内置功能,它可以限制某些潜在危险的函数,如`system()`,并控制文件操作。开启安全模式的配置是:`safe_mode = on`。但需要注意的是...

    PHP swoole loader 扩展 for linux win系统、线程安全\非安全、PHP54-81 全集

    不同版本的PHP可能需要匹配特定的Swoole Loader版本,确保正确选择以避免兼容性问题。 **Swoole Loader的功能** Swoole Loader的主要功能包括: 1. **自动加载优化**:通过预编译和缓存类映射,提高PHP代码的加载...

    PHP配置安全检查工具 – PCC

    然而,不正确的或过于宽松的PHP配置可能会导致严重的安全问题,例如敏感信息泄露、恶意代码执行、DoS攻击等。因此,定期对`php.ini`进行安全检查至关重要。 ### PCC工具的使用方法 1. **安装与运行**:首先,你...

    《PHP应用程序安全编程》(Tricia Ballad).[PDF]

    PHP作为一种广泛使用的开源脚本语言,常用于Web开发,但同时也因为其灵活性和易用性,可能导致安全问题。本书深入探讨了如何在PHP编程中避免这些潜在的安全风险。 在PHP应用程序的安全编程中,有几个核心概念和实践...

    Php安全新闻早8点

    #### 三、Cookie操作与安全问题 **标题:**PHP安全新闻早8点周刊版(2011-11-09 星期三)至(2011-11-15 星期二) **描述:**探讨了登录验证过程中Cookie的操作方法及潜在的安全风险。 **知识点概述:** - Cookie的...

    2016“华山杯”CTF php250.rar

    2. **2016“华山杯”CTF php250.mp4**:这可能是一个视频文件,用于讲解某个PHP安全问题、漏洞利用过程,或者是比赛的官方介绍。视频可以提供更直观的解释,帮助参赛者理解问题的复杂性,或者展示如何通过实践来解决...

    PHP漏洞全解1-9_php安全开发技巧_php安全开发基础详解_

    这包括了解如何正确处理用户输入,因为大部分Web应用的安全问题都源于不安全的用户输入处理。例如,SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等,都是由于未能有效验证和过滤用户数据导致的。开发者应当...

    一个php安全过滤类库

    "一个PHP安全过滤类库"是专门为开发者设计的工具,旨在帮助他们在处理用户输入数据时防止各种安全威胁。这类库通常包含一系列预定义的函数或类方法,用于对输入数据进行验证、清理和转义,以消除潜在的SQL注入、跨站...

    php.ini安全配置

    #### 一、PHP安全模式概述 PHP的安全模式是一项重要的内置安全机制,主要用于限制一些潜在危险的功能,确保服务器安全。以下是对几个关键配置项的详细解读: #### (1) 开启PHP的安全模式 安全模式能够对一系列PHP...

    php安全基础教程,适合进阶学习

    这个"PHP安全基础教程"针对已经具备一定PHP基础知识的学习者,旨在帮助他们深入理解如何编写更安全的代码,避免常见的安全漏洞。以下是一些核心的PHP安全知识点,基于教程中的内容进行详细阐述: 1. 输入验证与过滤...

Global site tag (gtag.js) - Google Analytics