PHP安全

开发PHP商城要注意的一些常见安全问题

一般情况下我们在自己开发的过程中,需要注意PHP安全方面的
德尚网络·2019-06-05 10:06

php安全编码规范

php安全库rhizobia目录一、安全编码基本原则1.1所有输入数据都是有害的1.2不依赖运行环境的安全配置1.3安全控制措施落实在最后执行阶段1.4最小化1.5
Jaskzon·2019-05-22 19:05

PHP安全之webshell和后门检测

PHP安全之webshell和后门检测一、各种webshell一句话木马,其形式如下所示:$cmd";die;}?>这种容易被安全软件检测出来。
清心_3389·2019-05-06 22:00

php安全、性能优化

安全:pdo占位符/预解析的方式,防止sql注入:?的方式性能优化:1.页面静态化(首页、栏目等做静态化处理。静态请求比动态请求性能搞出很多)a.后台修改后手动清除缓存(删除生成的对应的静态页面)b.后台修改后自动清除缓存2.gzip压缩图片(对大文件压缩很好,小文件效果差。压缩会耗cpu资源)设置开关、最小大小、缓存单位(缓冲区16k为单位,如果文件超过16k,就按4倍创建缓冲区),压缩机别(1
梁十八·2019-04-27 00:08

[PHP 安全] pcc —— PHP 安全配置检测工具

文章转自:https://learnku.com/php/t/27016背景在PHP安全测试中最单调乏味的任务之一就是检查不安全的PHP配置项。
Charlie_Jade·2019-04-18 00:00

php安全配置

1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。PHP官网下载地址为:http://www.php.net/downloads.php2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。/usr/local/a
焚膏油以继晷,恒兀兀以穷年·2019-04-10 14:13

BugkuCTF代码审计Writeup

前言最近在读吴翰清先生的《白帽子讲Web安全》,可以说是萌新打开了自己新世界的大门,看了白帽子的PHP安全这一块内容,决定上手一些题目练一练基础,下面放上一些晚上练习的Bugku的代码审计题目;正文extract
Gard3nia·2019-02-03 18:02

PHP安全模式详解 PHP5 4安全模式将消失

PHP安全模式详解(huangguisu)这个是之前的笔记,随笔贴上而已。PHP安全模式在5.4的时候已经不再支持了。
我为AI领域做了奉献·2019-01-14 19:12

PHP安全编程系列》系列分享专栏

PHP安全编程系列收藏夹收藏了有关PHP安全编程方面的知识,对PHP安全编程提供学习参考《PHP安全编程系列》已整理成PDF文档,点击可直接下载至本地查阅https://www.webfalse.com
xiao_lili·2018-11-06 09:40

Linux下PHP网站服务器安全配置加固防护方法【推荐】

本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等,很好很强大很安全。
Sinesafe网站安全·2018-08-28 10:55

PHP安全

PHP安全一、SQL注入攻击(SQLInjection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。
追车·2018-08-08 17:54

[原]使用PHP安全检测拓展Taint检测你的PHP代码 (附源码分析)

一.拓展简介Taint是鸟哥写的一个PHP拓展支持PHP5.2~PHP7.2。拓展启用后能监控某些关键函数是否直接使用了来源于用户输入($_GET,$_POST,$COOKIE)而没有经过特殊处理的字符串。举个例子,在你web服务器的根目录下创建一个如下的taint.php文件$strA=trim($_GET['test']);$strB='inputa'.sprintf('%s',$strA);
bromine·2018-07-23 21:27

PHP实现防止表单重复提交功能【基于token验证】

代码非常简单我相信大家很聪明给大家分享一个小的demo,大家可以借鉴一下:具体代码:PHP防止重复提交表单">更多关于PHP相关内容感兴趣的读者可查看本站专题:《php程序设计安全教程》、《php安全过滤技巧总结
请叫我郝先生·2018-05-24 11:27

ThinkPHP之SQL注入

今天分享一个Thinkphp安全方面的知识:SQL注入篇1.什么是SQL注入?利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。这是黑客对数据库进行攻击的常用手段之一。
猫的树MaoTree·2018-04-23 18:00

PHP漏洞全解————1.PHP网站的安全性问题

后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。
FLy_鹏程万里·2018-03-31 00:33

php安全新闻早八点-高级持续渗透-第四季关于后门

第四季是一个过渡季,过渡后门在对抗升级中由传统后门,衍生成锁定目标的制定后门。引用百度百科的“后门程序"的相关解释:https://baike.baidu.com/item/%E5%90%8E%E9%97%A8%E7%A8%8B%E5%BA%8F/108154安全从业人员,其实至少一直在与传统后门对抗,比如最常见的webshell免杀与webshell过waf。应急中的样本取证查杀远控残留文件等。
micropoor·2017-12-26 15:27

php安全新闻早八点-高级持续渗透-第三季关于后门补充二

前者的话:从第三季开始引入段子,让本枯燥的学术文章,也变得生动有趣。第二季的Demo遵循人性五条来设计,回忆这其中五条:1:攻击方与防御方的本质是什么?增加对方的时间成本,人力成本,资源成本(不限制于服务器资源),金钱成本。2:安全公司的本质是什么?盈利,最小投入,最大产出。3:安全公司产品的本质是什么?能适应大部分客户,适应市场化,并且适应大部分机器。(包括不限制于资源紧张,宽带不足等问题的客户
micropoor·2017-12-25 13:05

php安全新闻早八点-高级持续渗透-第二季关于后门补充一

文章转载于:https://micropoor.blogspot.hk/2017/12/php_24.html这次继续围绕第一篇,第一季关于后门:https://micropoor.blogspot.hk/2017/12/php.html做整理与补充。在深入一步细化demonotepad++。后门是渗透测试的分水岭,它分别体现了攻击者对目标机器的熟知程度,环境,编程语言,了解对方客户,以及安全公司
micropoor·2017-12-25 01:20

一些常用的PHP类库, 资源以及技巧

PHPWebsites)PHPTheRightWay-一个PHP实践的快速参考指导PHPBestPractices-一个PHP最佳实践PHPWeeklyNews-一个PHP周刊SecuringPHP-有关PHP
keepfriend·2017-08-15 07:26

PHP安全的URL字符串base64编码和解码

在使用base64对字符串编码后,会出现特殊符号'+','/','=',如果该字符串通过url传递会出现意想不到的问题,所以,这里需要对编码后的字符串里的特殊字符进行过滤处理,来解决该问题。如果直接使用base64_encode和base64_decode方法的话,生成的字符串可能不适用URL地址。下面的方法可以解决该问题:URL安全的字符串编码:functionurlsafe_b64encode
Corwien·2017-07-25 00:00

PHP安全编程:阻止文件名被操纵

在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。[php]viewplaincopy为了让这个漏洞更明显,示例中使用了$_GET。如果你使用了受污染数据时,这个漏洞同样存在。使用$_GET['username']是一个极端的例子,通过它可以把问题看得更清楚。虽然上面的流程有其优点,但它同时为攻击者提供了一个可以自
come_on_air·2017-06-16 14:36

PHP安全编程:防止源代码的暴露

关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况:对包含文件使用.inc的扩展名包含文件保存在网站主目录下Apache未设定.inc文件的类型Apache的默认文件类型是text/plain上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。避免这种情况很容易。只能重组你的应用,把所
come_on_air·2017-06-16 13:28

PHP安全编程:防止SQL注入

SQL注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞,一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数
come_on_air·2017-06-16 13:41

PHP安全编程:文件上传攻击的防御

有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:[php]viewplaincopy一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。允许用户进行选择文件并上传的表单元素是很简单的:[php]viewplaincopy该元素在
come_on_air·2017-06-16 13:57

PHP安全之webshell和后门检测

基于PHP的应用面临着各种各样的攻击:XSS:对PHP的Web应用而言,跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache,或是写更安全的PHP代码(验证所有用户输入)来防范XSS攻击SQL注入:这是PHP应用中,数据库层的易受攻击点。防范方式同上。常用的方法是,使用mysql_real_escape_string()对参数进行转义,而后进行SQL查询。文件上传:它可
有痣青年·2017-06-06 13:00

常见的PHP安全防范

PHP本身在老版本有一些问题,比如在php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQLInjection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在/usr/local/apache2/conf/php.ini,我们最主要就是要配置php.
SHUIPING_YANG·2017-05-23 16:32

浅谈PHP安全防护之Web攻击

SQL注入攻击(SQLInjection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密
成九·2017-01-03 09:55

web安全书籍整理

武汉大学出版社)《HTTP权威指南》《HTML5权威指南》《JavaScript权威指南(第6版)》《TCP/IP详解卷1:协议》《SQL编程基础(原书第3版)》《PHP和MySQLWeb开发(第四版)》《PHP
ccstuck·2016-11-11 22:25

菜鸟的THINKPHP安全讲堂[2]-XSS篇

阅读更多什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[2]-XSS篇

阅读更多什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[2]-XSS篇

什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(不涉及f
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[1]-SQL注入篇

阅读更多//注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.//不安全的写法举例1$_GET['id']=8;//希望得到的是正整数$data=M('Member')->where('id='.$_GET['id'])->find();$_GET['id']='8orstatus=1';//隐患:构造畸形查询条件进行注入;//安全的替换写法$data=M('Member')
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[1]-SQL注入篇

阅读更多//注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.//不安全的写法举例1$_GET['id']=8;//希望得到的是正整数$data=M('Member')->where('id='.$_GET['id'])->find();$_GET['id']='8orstatus=1';//隐患:构造畸形查询条件进行注入;//安全的替换写法$data=M('Member')
nbczw8750·2016-08-17 09:00

PHP安全编程之文件包含的代码注入攻击

一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时:在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中的allow_url_fopen所控制):include语句在此时会把http://www.google.com的网页源代码作为本地文件一样包含进来。虽然上面的例子是无害的,但是想像一下如果GOOGLE返回
爱代码也爱生活·2016-08-10 11:32

php安全问题思考

用户提交过来的数据都是不可信的,所以,在查库或入库前需要对提交过来的数据进行过滤或字符的转换处理,以防止SQL注入或xss攻击等问题。一、防止SQL注入什么是SQL注入攻击?所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。寻找SQL注入的方法:1.通过get请求2.通过post请求3.其他http请求,如cookie
Corwien·2016-08-06 00:00

HTTP攻击与防范--PHP安全配置

1什么是安全性所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平安无事了
diligentyang·2016-05-29 15:25

HTTP攻击与防范--PHP安全配置

1什么是安全性所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平安无事了
qq_28602957·2016-05-29 15:00

php安全】eval的禁止【原创】

前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少:然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。本地测试一下,在本地环境写一个php,内容如下:default.php:然后访问一下:localhost/test/default.php?asda=phpinfo();就可以看到已经把phpinfo给执行了。或者是访问localhost/
jiandanokok·2016-05-12 22:04

PHP安全的URL字符串base64编码和解码

如果直接使用base64_encode和base64_decode方法的话,生成的字符串可能不适用URL地址。下面的方法可以解决该问题:URL安全的字符串编码:复制代码代码如下:functionurlsafe_b64encode($string){  $data=base64_encode($string);  $data=str_replace(array('+','/','='),array(
zhongchengbin·2016-05-06 10:00

PHP安全

mysql_real_escape_string(stringsqlQuery) :转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。一个非常有用的函数,可以有效地避免SQL注入。以下字符会被转换:\x00,\n,\r,\,’,”,\x1a在执行sql语句之前,对要将执行的sqlquery使用该函数处理,会将一些危险扼杀在摇篮中。但是现在一般在较为成熟的项目中,一般比较推荐使用类
xg_666·2016-04-22 08:00

php调用系统命令

调试方法:    ​1.查询服务器项目目录权限   2.查看php安全模式是否现在处于开启状态如果开启safe_mode=off关闭安全模式。    
liangguangchuan·2016-04-21 10:00

[置顶] PHP安全处理之Mcrypt使用总结

PHP安全处理之Mcrypt使用总结:我们知道在编写代码程序时,除了要保证代码的高性能,还有一个非常重要的,就是数据的安全。
why_2012_gogo·2016-04-19 22:00

PHP安全下载文件的方法

本文实例讲述了PHP安全下载文件的方法。
ruxingli·2016-04-07 11:48

PHP安全过滤函数

在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(CrossSiteScripting:跨站脚本)攻击等。1.mysql_real_escape_string()这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在连接数据库的
JaakkoLee·2016-04-01 17:21

PHP安全有帮助的一些函数

安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击
libinemail·2016-03-16 08:00

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
猫小珍·2016-02-18 23:00

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
猫小珍·2016-02-18 23:00

php 安全过滤函数代码

php安全过滤函数代码,防止用户恶意输入内容。
郑宏鑫erke·2016-02-17 00:00

php 安全过滤函数代码

php安全过滤函数代码,防止用户恶意输入内容。
郑宏鑫erke·2016-02-16 21:00

Web安全学习系列(3)

cym492224103第11章加密算法与随机数针对加密攻击StreamCipherAttackECB模式的缺陷密钥管理建议第12章Web框架安全第13章应用层拒绝服务攻击本质防御措施Slowloris攻击第14章PHP
陈宇明·2016-01-28 11:23
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他