php代码审计php安全

PHP安全编程:防止SQL注入

SQL注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞,一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数
come_on_air·2017-06-16 13:41

PHP安全编程:文件上传攻击的防御

有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:[php]viewplaincopy一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。允许用户进行选择文件并上传的表单元素是很简单的:[php]viewplaincopy该元素在
come_on_air·2017-06-16 13:57

PHP安全之webshell和后门检测

基于PHP的应用面临着各种各样的攻击:XSS:对PHP的Web应用而言,跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache,或是写更安全的PHP代码(验证所有用户输入)来防范XSS攻击SQL注入:这是PHP应用中,数据库层的易受攻击点。防范方式同上。常用的方法是,使用mysql_real_escape_string()对参数进行转义,而后进行SQL查询。文件上传:它可
有痣青年·2017-06-06 13:00

常见的PHP安全防范

PHP本身在老版本有一些问题,比如在php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQLInjection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在/usr/local/apache2/conf/php.ini,我们最主要就是要配置php.
SHUIPING_YANG·2017-05-23 16:32

PHP代码审计之基础篇

最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~前期准备:当然,最基本的前提是至少大致学过PHP的语法。
Mi1k7ea·2017-04-18 16:16

PHP相关

比较好的一些帖子:【代码审计】PHP代码审计:http://www.jianshu.com/p/eaaebd36bd76技术专题-PHP代码审计:http://www.jianshu.com/p/2e4f7553659cPHP
上汤娃娃菜S·2017-02-23 09:19

PHP代码审计之命令执行

PHP命令注入攻击漏洞是PHP应用程序常见漏洞之一。国内著名的PHP应用程序,如discuz!、dedecms等大型程序在网络中均被公布过存在命令注入攻击漏洞,黑客可以通过命令注入攻击漏洞快速获取网站权限,进而实施挂马、钓鱼等恶意攻击,造成的影响和危害十分巨大。同时,目前PHP语言应用于Web应用程序开发所占比例较大,Web应用程序员应该了解命令注入攻击漏洞的危害.PHP执行系统命令可以使用以下几
luyaran·2017-01-13 08:11

浅谈PHP安全防护之Web攻击

SQL注入攻击(SQLInjection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密
成九·2017-01-03 09:55

【代码审计】PHP代码审计

1.概述代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。代码审核不是简单的检查代码,审核代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。审核人员可以使用类似下面的问题对开发者进行访谈,来收集应用程序信息
是Jonathan·2016-12-19 16:14

PHP代码审计教程

自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html。
yttitan·2016-12-09 06:37

web安全书籍整理

武汉大学出版社)《HTTP权威指南》《HTML5权威指南》《JavaScript权威指南(第6版)》《TCP/IP详解卷1:协议》《SQL编程基础(原书第3版)》《PHP和MySQLWeb开发(第四版)》《PHP
ccstuck·2016-11-11 22:25

PHP 代码审计:(一)文件上传

PHP代码审计:(一)文件上传0x00概述在网站的运营过程中,不可避免地要对网站的某些页面或内容进行更新,这时便需要使用到网站上的文件上传功能。
飞龙·2016-08-31 00:00

菜鸟的THINKPHP安全讲堂[2]-XSS篇

阅读更多什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[2]-XSS篇

阅读更多什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[2]-XSS篇

什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击),当你再把这些提交的内容显示到页面上时,XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷,本文也只是做的普及一些基本的安全防护知识(不涉及f
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[1]-SQL注入篇

阅读更多//注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.//不安全的写法举例1$_GET['id']=8;//希望得到的是正整数$data=M('Member')->where('id='.$_GET['id'])->find();$_GET['id']='8orstatus=1';//隐患:构造畸形查询条件进行注入;//安全的替换写法$data=M('Member')
nbczw8750·2016-08-17 09:00

菜鸟的THINKPHP安全讲堂[1]-SQL注入篇

阅读更多//注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.//不安全的写法举例1$_GET['id']=8;//希望得到的是正整数$data=M('Member')->where('id='.$_GET['id'])->find();$_GET['id']='8orstatus=1';//隐患:构造畸形查询条件进行注入;//安全的替换写法$data=M('Member')
nbczw8750·2016-08-17 09:00

PHP安全编程之文件包含的代码注入攻击

一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时:在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中的allow_url_fopen所控制):include语句在此时会把http://www.google.com的网页源代码作为本地文件一样包含进来。虽然上面的例子是无害的,但是想像一下如果GOOGLE返回
爱代码也爱生活·2016-08-10 11:32

php安全问题思考

用户提交过来的数据都是不可信的,所以,在查库或入库前需要对提交过来的数据进行过滤或字符的转换处理,以防止SQL注入或xss攻击等问题。一、防止SQL注入什么是SQL注入攻击?所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。寻找SQL注入的方法:1.通过get请求2.通过post请求3.其他http请求,如cookie
Corwien·2016-08-06 00:00

HTTP攻击与防范--PHP安全配置

1什么是安全性所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平安无事了
diligentyang·2016-05-29 15:25

HTTP攻击与防范--PHP安全配置

1什么是安全性所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平安无事了
qq_28602957·2016-05-29 15:00

PHP审计-RIPS

0x00背景对于PHP代码审计的需求,我们当然需要一款好的PHP代码审计分析工具--RIPS,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞如XSS,sql注入,敏感信息泄漏,文件包含等常见漏洞
qq_29277155·2016-05-28 13:00

php安全】eval的禁止【原创】

前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少:然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。本地测试一下,在本地环境写一个php,内容如下:default.php:然后访问一下:localhost/test/default.php?asda=phpinfo();就可以看到已经把phpinfo给执行了。或者是访问localhost/
jiandanokok·2016-05-12 22:04

PHP安全的URL字符串base64编码和解码

如果直接使用base64_encode和base64_decode方法的话,生成的字符串可能不适用URL地址。下面的方法可以解决该问题:URL安全的字符串编码:复制代码代码如下:functionurlsafe_b64encode($string){  $data=base64_encode($string);  $data=str_replace(array('+','/','='),array(
zhongchengbin·2016-05-06 10:00

PHP安全

mysql_real_escape_string(stringsqlQuery) :转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。一个非常有用的函数,可以有效地避免SQL注入。以下字符会被转换:\x00,\n,\r,\,’,”,\x1a在执行sql语句之前,对要将执行的sqlquery使用该函数处理,会将一些危险扼杀在摇篮中。但是现在一般在较为成熟的项目中,一般比较推荐使用类
xg_666·2016-04-22 08:00

php调用系统命令

调试方法:    ​1.查询服务器项目目录权限   2.查看php安全模式是否现在处于开启状态如果开启safe_mode=off关闭安全模式。    
liangguangchuan·2016-04-21 10:00

[置顶] PHP安全处理之Mcrypt使用总结

PHP安全处理之Mcrypt使用总结:我们知道在编写代码程序时,除了要保证代码的高性能,还有一个非常重要的,就是数据的安全。
why_2012_gogo·2016-04-19 22:00

php代码审计辅助脚本

#!/usr/bin/envpython importsys importos defmain(): print''' -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 1.include/require 2.exec/system/popen/passthru/proc_open/pcntl_exec/shell_exec 3.eval/preg_repl
u011066706·2016-04-17 22:00

PHP安全下载文件的方法

本文实例讲述了PHP安全下载文件的方法。
ruxingli·2016-04-07 11:48

PHP安全过滤函数

在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(CrossSiteScripting:跨站脚本)攻击等。1.mysql_real_escape_string()这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在连接数据库的
JaakkoLee·2016-04-01 17:21

PHP安全有帮助的一些函数

安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击
libinemail·2016-03-16 08:00

PHP语言代码漏洞审计技巧笔记分享

PHP代码审计,安全漏洞挖掘简要记录1全局变量PHP中的许多预定义变量都是“超全局的”,这意味着它们在一个脚本的全部作用域中都可用。
5t4rk·2016-03-05 23:38

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
猫小珍·2016-02-18 23:00

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
猫小珍·2016-02-18 23:00

php 安全过滤函数代码

php安全过滤函数代码,防止用户恶意输入内容。
郑宏鑫erke·2016-02-17 00:00

php 安全过滤函数代码

php安全过滤函数代码,防止用户恶意输入内容。
郑宏鑫erke·2016-02-16 21:00

代码审计入门总结

0x00简介之前看了seay写的PHP代码审计的书,全部浏览了一遍,作为一个代码审计小白,希望向一些和我一样的小白的人提供一下我的收获,以及一个整体的框架和常见漏洞函数。
·2016-02-15 01:00

一个很不错php代码审计学习笔记

PHP代码审计学习总结0x01引言PHP是一种被广泛使用的脚本语言,尤其适合于web开发。
毅豪·2016-02-13 23:00

Web安全学习系列(3)

cym492224103第11章加密算法与随机数针对加密攻击StreamCipherAttackECB模式的缺陷密钥管理建议第12章Web框架安全第13章应用层拒绝服务攻击本质防御措施Slowloris攻击第14章PHP
陈宇明·2016-01-28 11:23

Web安全学习系列(3)

cym492224103第11章加密算法与随机数针对加密攻击StreamCipherAttackECB模式的缺陷密钥管理建议第12章Web框架安全第13章应用层拒绝服务攻击本质防御措施Slowloris攻击第14章PHP
cym492224103·2016-01-28 11:00

PHP安全选项配置学习笔记

此文为代码审计学习笔记,请大家支持正版,购买正版。漏洞和操作系统、webserver、PHP版本以及配置等密切相关,Phpstudy是一个集成开发环境,可以在各种php、webserver之间切换。下面是和安全相关的选项,这些选项只有在服务重启之后才会生效1.register_globals(全局变量注册开关,使GET、POST等方式提交上来的数据变成全局变量)该选项在设置为on的情况下,会直接把
duangduang2020·2016-01-18 17:16

PHP 执行系统外部命令 system() exec() passthru()

本人注:使用必须注意安全性问题,在后面我会列举一些相关的php代码审计。以下为转载内容。PHP作为一种服务器端的脚本语言,象编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。
郑宏鑫erke·2016-01-12 09:00

构建安全的PHP应用已在豆瓣阅读发布

应用然后给几个全新的兑换码,刚更新的WHNU2EFXL830,WHNU2E0EKXLT,WHNU2EPGQ9XJ2015年7月的一天,我正在Feedly上悠然的阅读,突然出现一篇博客有介绍这本书,因为说的是我当时正在关注的PHP
木木老蔫·2016-01-03 21:31

PHP代码审计和漏洞挖掘

PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。
Leesire·2015-12-26 11:08

PHP代码审计和漏洞挖掘

PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。
nowadaysall·2015-12-26 11:00

PHP安全把握整站的结构,避免泄露站点敏感目录

把握整站的结构,避免泄露站点敏感目录    在安全性上,一个入口点文件也能隐藏后台地址。像这样的地址http://localhost/?act=xxx不会暴露后台绝对路径,甚至可以经常更改,不用改变太多代码。一个入口点文件也可以验证访问者的身份,比如一个网站后台,不是管理员就不允许查看任何页面。在入口点文件中就可以验证身份,如果没有登录,就输出404页面。有了入口点文件,我就把所有非入口点文件前面
liuyanaimao·2015-12-17 16:44

关于PHP代码审计和漏洞挖掘的一点思考

PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。 
·2015-12-09 13:44

php安全编程—sql注入攻击

原文: php安全编程—sql注入攻击 php安全编程——sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行
·2015-11-13 18:39

PHP安全相关的配置

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。
冥想_·2015-11-13 14:00

创建高安全性PHP网站的几个实用要点

所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。   
·2015-11-13 00:38
上一页 8 9 10 11 12 13 14 15 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他