做web开发,相信搭建都知道一些安全基本知识,”千万不能相信客户端数据“。而php又是一种弱类型语言。很多人在开发过程中忽略了类型转换,参数过滤直接量成不可估量的后果。
不使用过滤函数可能出现以下情况:
数据库被(sql)注入。直接可以导致你的系统崩溃,系统数据丢失,用户信息丢失。网站被挂马,遇到文件处理则可以将你的网站文件删除。
另外值得一提的是很多人认为开启php安全模式就万事大吉了。其实不然,很多注入者往往绕过正面,进行侧面进攻。
使用 0×7e,0×27等(ASCII码)字符串来充当引号,而php又无法过滤。注入的一般方式都是在参数里面加入很多mysql sql语法,去获取敏感数据信息。
exp:
and(select1from(select count(*),concat((select(select(select concat(0x7e,0x27,phpcms_member.username,0x27,0x7e)from phpcms_member limit0,1))from information_schema.tableslimit0,1),floor(rand(0)*2))x from information_schema.tablesgroupby x)a)and1=1
|
mysql information_schema.tables 所有用户都可见可查,能查出所有表结构信息,数据库信息。
php开源系统很多,很多开源系统大家知道数据结构,已级敏感信息表。(这里当然也包括不法分子)
这里指的敏感信息:往往是一些用户信息,管理端信息。现在md5的穷举一直在进行着。很多的md5加密之后的密码仍然能被解密成明文。
很多系统都做了相应的安全提升。
下面介绍以下常见手段:
使用过滤函数,php filter 安全过滤函数.md5( md5(‘用户密码’) . ‘私钥’ ) 得出加密结果。常用的php开源系统后台一定要修改目录名。很多系统后台直接使用admin作为后台入口。不要将phpmyadmin等数据库操作软件安置在网站可见目录。
等等。。之所以这样是由于现在大量存在扫描工具去扫描这样的管理端。
下面是惊心的一张图
mysql 注入
mysql 注入
出处: 马丁博客[http://www.blags.org/]
本文链接地址: http://www.blags.org/php-security-issue/
分享到:
相关推荐
PHP安全问题:远程溢出、DoS、safe_mode绕过漏洞.pdf
PHP 安全问题入门:10 个常见安全问题 + 实例讲解.pdf
有时候,您的业务可能涉及到 PHP 应用程序的安全性。当您遇到审计任务时,您知道如何执行查找吗?本系列将带您进入PHP,并帮您在一定程序上了解它,让您在进行安全审计时知道查找什么。
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP...
PHP安全配置 如何将PHP配置的更安全
PHP语言基础 PHP的函数们! 代码审计需要什么? 代码审计课程安排! PHP代码编写 PHP安全问题类型
php安全问题详解教程,涉及到php建站的各个方面,教会您打造完全安全的php站点
书名叫《PHP应用程序安全编程》,本书涵盖内容包括:Web应用程序安全的基础知识;从开始阶段设计安全的应用程序——去除已有应用程序的安全漏洞;缓冲区溢出、文件系统访问、身份验证、加密等;防御PHP自身无法防御...
php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd, 但是默认的php.ini是没有...
PHP_表单安全详解,PHP_表单安全详解,PHP_表单安全详解,PHP_表单安全详解
php mysql安全机制
php数据库安全,维护数据库的安全。php数据库安全,维护数据库的安全。
php安全过滤类
一个php安全过滤类库
PHP简介与安全问题
PHP简介与安全问题之探讨
最近刚做完两个PHP的网站项目,客户虽然没有安全性的相关需求,但是自己不能放过对自己的要求,何况对以后做电子商务的项目相当有帮助,呵呵,早准备早超生,经过查看PHP ...超出此范围的安全性问题不在本文范畴之内。
php安全基础教程,适合学php进阶用~~
UPUPW PHP探针安全版简介 UPUPW PHP探针安全版,防服务器路径信息泄露,防XSS漏洞攻击,支持最新PHP7.0系列版本,完全兼容PHP5.2-PHP5.6组件和参数的检测。 UPUPW PHP探针安全版 15.12.5 更新日志: 1、修复安全版--...
谈谈关于PHP的代码安全相关的一些致命知识