PHP WEB 安全

2/13/2017来源:SQL技巧人气:891

LAMP 相关安全漏洞

     sql注入,代码注入,系统命令注入,apache、nginx配置漏洞。

          sql注入:通过构建特殊的输入作为传入web应用程序,而这些输入大都是一些sql的语法组合,通过sql语句进而执行攻击者所要的操作,其主要原因是程序里没有细致的过滤用户输入的数据,导致非法数据侵入系统。

         【预防方法】

              1.过滤好字符串,判断好参数类型

               get_magic_quotes_gpc检查是否自动转义(<5.4)

               addslashes,MySQLi_real_escape_string插入前转义;

               stripslashes反转义;

             2.使用mysqli,pdo等预编译语句方式执行sql

             3.过滤掉敏感sql,如select union ,drop table

前后端结合的安全漏洞

     表单校验,xss跨站脚本攻击,csfr跨站请求攻击,会话劫持,上传文件漏洞。

业务逻辑相关漏洞

     防刷和ip伪造,WEB代码目录问题,文件路径注入,身份权限验证,密码问题,金额非负问题,短信验证码,日志路径安全。

暂时就这么多,后续会跟新。