摘要:文件系統(tǒng)安全如果具有權(quán)限����,且在腳本中允許用戶(hù)刪除文件�����,那么用戶(hù)提交數(shù)據(jù),不進(jìn)行過(guò)濾�,就非常有可能刪除系統(tǒng)文件從用戶(hù)目錄中刪除指定的文件上面的代碼,假設(shè)用戶(hù)提交的值是�,那么目錄就會(huì)被刪除防范文件系統(tǒng)攻擊,策略如下只給有限的權(quán)限用戶(hù)提交上來(lái)的變
文件系統(tǒng)安全
php如果具有root權(quán)限���,且在腳本中允許用戶(hù)刪除文件����,那么用戶(hù)提交數(shù)據(jù)�����,不進(jìn)行過(guò)濾���,就非常有可能刪除系統(tǒng)文件
上面的代碼�����,假設(shè)用戶(hù)提交的$userfile值是 ../etc/�����,那么/etc目錄就會(huì)被刪除
防范文件系統(tǒng)攻擊����,策略如下
只給php有限的權(quán)限
用戶(hù)提交上來(lái)的變量要監(jiān)測(cè)和過(guò)濾,不能包含文件路徑等特殊字符
盡量避免使用PHP操作文件(刪除)����,如果有這方面的需求,那用戶(hù)可刪除文件也必須是系統(tǒng)生成的隨機(jī)名稱(chēng)���,不可被用戶(hù)控制
數(shù)據(jù)庫(kù)安全
數(shù)據(jù)庫(kù)安全主要防范的是sql injection�����,即sql注入攻擊,
提升數(shù)據(jù)庫(kù)安全的策略如下:
不用使用root帳號(hào)或者數(shù)據(jù)庫(kù)所有者帳號(hào)連接數(shù)據(jù)庫(kù)�,連接數(shù)據(jù)庫(kù)限定連接用戶(hù)的ip
使用php的pdo擴(kuò)展,有效防止sql注入�����,除了安全方面的優(yōu)勢(shì)����,php的pdo擴(kuò)展在性能方面有有很大優(yōu)勢(shì)
請(qǐng)參看 http://php.net/manual/en/pdo.prepared-statements.php
對(duì)一些敏感信息進(jìn)行加密,常見(jiàn)的比如對(duì)密碼進(jìn)行加密
用戶(hù)數(shù)據(jù)過(guò)濾
對(duì)用戶(hù)數(shù)據(jù)過(guò)濾��,可以防范XSS和CSRF攻擊
使用白名單(用戶(hù)輸入是固定模式)的方式
比如用戶(hù)名只能使用數(shù)字字母,那么可以使用函數(shù)ctype_alnum判斷
對(duì)用戶(hù)輸入使用函數(shù) htmlentities或者h(yuǎn)tmlspecialchars進(jìn)行處理�,輸入url不允許傳入非http協(xié)議
用戶(hù)身份驗(yàn)證使用令牌 token(csrf)
http://htmlpurifier.org/ HTML Purifier 是開(kāi)源的防范xss攻擊的有效解決方案,
其他安全策略
線上環(huán)境關(guān)閉錯(cuò)誤報(bào)告(error_reporting,dislay_erros���,可在php.ini中配置error_log路徑����,記錄錯(cuò)誤信息�,這樣有助于發(fā)現(xiàn)可能的用戶(hù)攻擊)
Register Globals,棄用(移除)的特性,不要使用
魔術(shù)引號(hào)特性��,不要開(kāi)啟�����,在PHP-5.4中已經(jīng)被移除
盡量使用PHP的最新版本��,最新版本修復(fù)了已知的很多安全漏洞和bug
代碼中嚴(yán)格遵守上述策略���,基本能保證代碼不會(huì)有太多的安全漏洞�����,能防范常見(jiàn)攻擊�。
歡迎補(bǔ)充。
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/20699.html
