PHP安全

Web安全学习系列(3)

cym492224103第11章加密算法与随机数针对加密攻击StreamCipherAttackECB模式的缺陷密钥管理建议第12章Web框架安全第13章应用层拒绝服务攻击本质防御措施Slowloris攻击第14章PHP
cym492224103·2016-01-28 11:00

PHP安全选项配置学习笔记

此文为代码审计学习笔记,请大家支持正版,购买正版。漏洞和操作系统、webserver、PHP版本以及配置等密切相关,Phpstudy是一个集成开发环境,可以在各种php、webserver之间切换。下面是和安全相关的选项,这些选项只有在服务重启之后才会生效1.register_globals(全局变量注册开关,使GET、POST等方式提交上来的数据变成全局变量)该选项在设置为on的情况下,会直接把
duangduang2020·2016-01-18 17:16

构建安全的PHP应用已在豆瓣阅读发布

应用然后给几个全新的兑换码,刚更新的WHNU2EFXL830,WHNU2E0EKXLT,WHNU2EPGQ9XJ2015年7月的一天,我正在Feedly上悠然的阅读,突然出现一篇博客有介绍这本书,因为说的是我当时正在关注的PHP
木木老蔫·2016-01-03 21:31

PHP安全把握整站的结构,避免泄露站点敏感目录

把握整站的结构,避免泄露站点敏感目录    在安全性上,一个入口点文件也能隐藏后台地址。像这样的地址http://localhost/?act=xxx不会暴露后台绝对路径,甚至可以经常更改,不用改变太多代码。一个入口点文件也可以验证访问者的身份,比如一个网站后台,不是管理员就不允许查看任何页面。在入口点文件中就可以验证身份,如果没有登录,就输出404页面。有了入口点文件,我就把所有非入口点文件前面
liuyanaimao·2015-12-17 16:44

php安全编程—sql注入攻击

原文: php安全编程—sql注入攻击 php安全编程——sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行
·2015-11-13 18:39

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
冥想_·2015-11-13 14:00

创建高安全性PHP网站的几个实用要点

所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。   
·2015-11-13 00:38

php安全的改进以及检测文件是否被篡改

可以使用svn的check for modifications//查看更改 至于缓存的php模板文件 可以查找以下执行命令的函数是否存在phpinfo,eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents
·2015-11-12 22:24

PHP安全

PHP 作为一种强大的语言,无论是以模块还是 CGI的方式安装,它的解释器都可以在服务器上访问文件、运行命令以及创建网络连接等。这些功能也许会给服务器添加很多不安全因素,需要正确地安装和配置 PHP,以及编写安全的代码。 一、CGI模式安装安全 二、以Apache模块安装安全 当 PHP 以 Apache 模块方式安装时,它将继承 Apache 用户(通常为“nobody”)的权限。这对安全
·2015-11-12 20:52

PHP安全编程:过滤用户输入

如果你能正确可靠地识别和过滤输入,你的工作就基本完成了。最后一步是使用一个命名约定或其它可以帮助你正确和可靠地区分已过滤和被污染数据的方 法。我推荐一个比较简单的命名约定,因为它可以同时用在面向过程和面向对象的编程中。我用的命名约定是把所有经过滤的数据放入一个叫$clean的数据 中。你需要用两个重要的步骤来防止被污染数据的注入: 经常初始化$clean为一个空数组。 加入检查及阻止来
·2015-11-12 20:58

PHP安全编程:对输出要进行转义

为了区分数据是否已转义,我还是建议定义一个命名机制。对于输出到客户机的转义数据,我使用$html数组进行存储,该数据首先初始化成一个空数组,对所有已过滤和已转义数据进行保存。 1 <?php 2    3    $html = array (  ); 4 &nbs
·2015-11-12 20:58

PHP安全编程:不要让不相关的人看到报错信息

没有不会犯错的开发者,PHP的错误报告功 能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一 点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出 错日志文件的保存路径。 由于出错报告的级别设定可以导致有些错误无
·2015-11-12 20:57

php安全编程: register_globals的安全性

register_globals?本身并非安全风险。但是,它为跟踪用户输入和确保应用程序安全增加了难度。为什么会这样? 因为如果打开 register_globals,在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中,将创建 GET、POST 和 COOKIE 传递到 PHP 脚本的所有变量。 下面是工作方式及其重要性的示例: 1 <?php 2
·2015-11-12 20:56

PHP安全代码--分页数量检查

function ckstart($start, $perpage) { global $_SCONFIG; $maxstart = $perpage*intval($_SCONFIG['maxpage']); if($start < 0 || ($maxstart > 0 && $start >= $maxstart)) {
·2015-11-12 19:21

PHP安全代码--POST方式提交数据

1 function submitcheck($var) { 2 if(!empty($_POST[$var]) && $_SERVER['REQUEST_METHOD'] == 'POST') { 3 if((empty($_SERVER['HTTP_REFERER']) || 4 preg_replace("/https?:\/
·2015-11-12 19:21

PHP安全设置

所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。
·2015-11-12 14:37

PHP安全模式详解(PHP5.4安全模式将消失)

  PHP安全模式详解 ( huangguisu) 这个是之前的笔记,随笔贴上而已。PHP安全模式在5.4的时候已经不再支持了。
·2015-11-11 19:17

PHP安全-防止Directory Traversal攻擊

原文地址: http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-3%E5%AE%89%E5%85%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%AF%AB%E4%BD%9C:php:%E9%98%B2%E6%AD%A2Directory%
·2015-11-11 18:54

创建高安全性PHP网站的几个实用要点

所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。
·2015-11-11 16:55

PHP漏洞全解(一)-PHP网站的安全性问题

后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。
·2015-11-11 15:54

重燃你的PHP安全分析之火

关于脚本安全这个话题好像永远没完没了,如果你经常到国外的各种各样的bugtraq上,你会发现有一半以上都和脚本相关,诸如SQL injection,XSS,Path Disclosure,Remote commands execution这样的字眼比比皆是,我们看了之后的用途难道仅仅是抓肉鸡?对于我们想做web安全的人来说,最好就是拿来学习,可是万物抓根源,我们 要的不是鱼而是渔。在国内,各种各样
·2015-11-11 15:47

8个很有用的PHP安全函数,你知道几个?

原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安 全是编程非常重要的一个方面。
·2015-11-11 09:30

PHP安全编程:不要让不相关的人看到报错信息

没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。 由于出错报告的级别设定可以导致有些错误无法发现
·2015-11-11 08:50

从360找的可以有效解决PHP安全问题的代码,特别的好用,推荐

<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />"; die();
·2015-11-11 06:04

php安全编程—sql注入攻击

php安全编程——sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据
·2015-11-11 06:51

PHP安全编程小记

1,防范SQL注入,HTML中JS脚本注入 原则:不要相信对于客户端提交的值,必须经过安全处理后才可以使用。比如: $variable = $_POST['user_input'];$variable = mysql_real_escape_string($variable);$variable = stripslashes($variable);$variable = htmlentiti
·2015-11-11 04:18

PHP安全有帮助的一些函数

安全一直是一个在编程语言中非常值得去关注的方面。在任何一种成熟的编程语言中都有合适的办法来保证程序的安全性,在现代的 WEB 开发中 安全一直是一个在编程语言中非常值得去关注的方面。在任何一种成熟的编程语言中都有合适的办法来保证程序的安全性,在现代的 WEB 开发中,我们常常需要去处理用户的输入。(那么这时候,问题就来了)有一句编程格言是: 千万不要相信用户输入的安全性。所以呢,今天就介绍一
·2015-11-08 14:52

Linux服务器,PHP的10大安全配置实践

PHP安全性设置提示: DocumentRoot: /var/www/ Default Web server: Apache Default
·2015-11-01 08:03

PHP安全配置详解

http://www.05112.com/Article/200805/18664.html PHP勿庸置疑是非常强大的服务器端脚本语言,但是强大的功能总是伴随着重大的危险,在这章里,你将学习到使用PHP的安全模式来阻止一些PHP潜在的危险因素。 【 安全模式 】 PHP的安全模式提供一个基本安全的共享环境,在一个有多个用户帐户存在的PHP开放的Web服务器上。当一个Web服务器上运行的PH
·2015-10-31 18:26

PHP安全编程:shell命令注入

使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此。如果使用了被污染数据,命令注入漏洞就产生了。 exec()是用于执行shell命令的函数。它返回执行并返回命令输出的最后一行,但你可以指定一个数组作为第二个参数,这样输出的每一行都会作为一个元素存入数组。使用方式如下: 1 <?php 2   3
·2015-10-31 15:20

PHP安全编程:防止源代码的暴露

关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况:  对包含文件使用.inc的扩展名 包含文件保存在网站主目录下 Apache未设定.inc文件的类型 Apache的默认文件类型是text/plain  上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示
·2015-10-31 15:20

PHP安全编程:HTTP请求欺骗

一个比欺骗表单更高级和复杂的攻击方式是HTTP请求欺骗。这给了攻击者完全的控制权与灵活性,它进一步证明了不能盲目信任用户提交的任何数据。 为了演示这是如何进行的,请看下面位于http://example.org/form.php的表单: 1 <form action= "process.php"  method= "POST"
·2015-10-31 15:19

PHP安全编程:跨站请求伪造CSRF的防御

跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上,如果没有对跨站请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。 请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单: 01 <
·2015-10-31 15:18

PHP安全编程:网站安全设计的一些原则

深度防范 深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。 深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。 回到编程领域,坚持深度防范原则要求您时刻有一个备份方案。如果一个安全措施失效了,必须有
·2015-10-31 15:17

PHP安全编程:不要让不相关的人看到报错信息

没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。 由于出错报告的级别设定可以导致有些错误无法发现
·2015-10-31 15:16

PHP安全编程:主机文件目录浏览

除了能在共享服务器上读取任意文件之外,攻击者还能建立一个可以浏览文件系统的脚本。由于你的大多数敏感文件不会保存在网站主目录下,此类脚本一般用于找到你的源文件的所在位置。请看下例: 01 <?php 02   03 if  (isset( $_GET [ 'dir' ])) 04 {
·2015-10-31 15:15

PHP安全编程:跨站脚本攻击的防御

跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交:
·2015-10-31 15:14

PHP安全编程:留心后门URL 直接可以通过URL访问

后门URL是指虽然无需直接调用的资源能直接通过URL访问。例如,下面WEB应用可能向登入用户显示敏感信息: <?php $authenticated = FALSE; $authenticated = check_auth(); /* ... */ if ($authenticated) { include './sensitive.php'; }
·2015-10-31 15:10

PHP安全编程:更优的会话数据安全 更好地防范session暴露

当你关注于防止源码的暴露时,你的会话数据只同样存在着风险。在默认情况下,SESSION保存在/tmp目录下。这样做在很多情形下是很方便的,其中之一是所有用户都有对/tmp的写入权限,这样Apache同样也有权限进行写入。虽然其他用户不能直接从shell环境读取这些会话文件,但他们可以写一个简单的脚本来进行读取: 01 <?php 02  
·2015-10-31 15:08

PHP安全编程:register_globals的安全性 全局变量注册

如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHP的register_globals配置选项打开时,复杂的原始表单处理不复存在,公用变量会自动建立。它让PHP编程变得容易和方便,但同时也带来了安全隐患。 用户输入从何而来?第一个源是 GET、POST 和 COOKIE 数据。一般称为 GPC 数据。此数据的可识别程序依赖于一个有争议的 php.i
·2015-10-31 15:07

PHP安全编程:会话数据注入 比会话劫持更强大的攻击

一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外,还有写入权限。因此,存在着编写一段允许其他用户添加,编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单: 01 <?php 02   03 session_start();
·2015-10-31 15:07

PHP安全配置

vi /etc/php.ini #编辑 date.timezone = PRC #在946行把前面的分号去掉,改为date.timezone = PRC disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_al
·2015-10-31 11:57

关于php安全五条建议

我以前曾转载国人对于php安全编程的总结。有人说是老生长谈。这回看看外国朋友的作品。 据最新的调查,php语言的使用率竟超过了老牌语言c++,成为使用率第三位的编程语言。
·2015-10-31 11:19

Zend Framework实例教程

Zend Framework实例教程(1) 2007-03-24 18:23:50 我们邀请 PHP安全专家 — 最新版Zend Frame的贡献者 
·2015-10-31 11:44

PHP安全配置

一、Web服务器安全 PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。非常建议以chroot方式安装启动Apache,这样即使Apache和PHP及其脚本出现漏洞,受影响的也只有这个禁锢的系统,不会危害实际系统。但是使用chroot
·2015-10-31 10:59

PHP安全性漫谈

      本文所讨论的安全性环境是在Linux+Apache+Mysql+PHP。超出此范围的安全性问题不在本文范畴之内。一、apache server安全性设置             1、以Nobody用户运行一般情况下,A
·2015-10-31 08:19

写给系统管理员的25个PHP安全实践

  PHP是广泛使用的开源服务端脚本语言。通过HTTP或HTTPS协议,Apache Web服务允许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此,PHP应该小心使用。以下是为系统管理员准备的,安全配置PHP的25个实践事例。   用于下文的PHP设置样例 DocumentRoot:/var/www/html 默认Web服务:Apache(可以使用Lighttp
·2015-10-31 08:45

写给系统管理员的25个PHP安全实践

  PHP是广泛使用的开源服务端脚本语言。通过HTTP或HTTPS协议,Apache Web服务允许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此,PHP应该小心使用。以下是为系统管理员准备的,安全配置PHP的25个实践事例。   用于下文的PHP设置样例 DocumentRoot:/var/www/html 默认Web服务:Apache(可以使用Lighttp
·2015-10-30 12:39

PHP安全配置之实现安全的两个重点

一、Web服务器安全   PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。非常建议以chroot方式安装启动Apache,这样即使Apache和PHP及其脚本出现漏洞,受影响的也只有这个禁锢的系统,不会危害实际系统。但是使用chroo
·2015-10-27 16:41

十一个常见的PHP安全细则

  PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要
·2015-10-23 09:29
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他