下载后可任意编辑PHP 网站设计中信息安全防备的讨论 摘要:网络具有开放性和共享性的特点,在给人们的生活带来便利的同时,也对网络用户的信息安全带来了威胁。本文讨论了在 PHP 网站开发过程中信息安全防备技术,列举在 PHP 网站开发时容易出现的安全漏洞以及这些漏洞带来的危害,同时还介绍了黑客常用的攻击手段并给出相应的解决方案。 关键词:安全防备;PHP;网站 0 引言 当前网络与信息安全产业已成为对各国的国家安全、政治稳定、经济 进展 、社会生活、健康文化等方方面面具有生存性和保障性支撑作用的关键产业。网络与信息安全可能会影响个人的工作、生活,甚至会影响国家经济进展、社会稳定、国防安全。因此,网络与信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。本文对 PHP 网站设计中信息安全防备的讨论具有重要的意义。 1PHP 编码过程中的安全问题及其防范 服务器和 PHP 的运行环境配置好后,并不意味着网络应用就安全了,程序员的安全意识也起着决定性的作用。假如程序员的安全意识不高,对用户的所有输入都没有进行安全验证,那么,所有有害的指令都将作为合法指令被执行。 1.1SQL 注入的防范 程序员在编写代码的时候,没有对用户输入数据的合法性进行推断,使得用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。 1)经典的'or 1=1' 注入 ‘or 1=1’注入是非常经典的注入语句,一般用在登录系统时绕过密码验证,以任意用户名登入。其原理是利用程序员在编写验证程序的时候没有验证用户的输入是否含有非预期的字符串,直接传递给 mysql_query()函数执行,or 1=1 使得无论密码是否匹配保证验证语句为真,达到绕过密码验证的目的 2)利用 union 语句的注入 Union 语句是利用其特性,使程序默认的语句出错,让程序执行 union 之下载后可任意编辑后自己构造的 SQL 语句,达到注入的目的。 3)防 SQL 注入的通用解决方案 注入的手段是多种多样,十分灵活的,但有一个共同点,都是利用没有对输入进行过滤。防止注入的方法也就是对传递给查询语句的参数进行过滤。 该函数是通过正则表达式匹配常用的注入语句,并对其进行过滤。采纳该过滤函数后,使用上述方法再次进行注入时,全部失效。 1.2XSS 跨站攻击 XSS 全称为 Cross Site Scripting,由于 CSS 已经用作样式表的简称,故...
VIP
