多数大学生出来选择的工作和专业无关
首页 > 专业知识

PHP需要注意的网站安全性问题

时间:2018-12-29 18:03:16 [来源]:郑州PHP培训学校

   PHP需要注意的网站安全性问题

  针对PHP的网站主要存在下面几种攻击方式:
  1、命令注入(Command Injection)
  2、eval注入(Eval Injection)
  3、客户端脚本攻击(Script Insertion)
  4、跨网站脚本攻击(Cross Site Scripting, XSS)
  5、SQL注入攻击(SQL injection)
  6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
  7、Session 会话劫持(Session Hijacking)
  8、Session 固定攻击(Session Fixation)
  9、HTTP响应拆分攻击(HTTP Response Splitting)
  10、文件上传漏洞(File Upload Attack)
  11、目录穿越漏洞(Directory Traversal)
  12、远程文件包含攻击(Remote Inclusion)
  13、动态函数注入攻击(Dynamic Variable Evaluation)
  14、URL攻击(URL attack)
  15、表单提交欺骗攻击(Spoofed Form Submissions)
  16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
  以后的每期连载,会逐个介绍这些漏洞的原理和防御方法。
  几个重要的php.ini选项:
  RegisterGlobals
  php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals
  的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患。
  例1:
  //check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作。
  PHP
  //ex1.php
  if(check_admin())
  {
  $is_admin=true;
  }
  if($is_admin)
  {
  do_something();
  }
  ?>
  1
 
  //ex1.php
  if(check_admin())
  {
  $is_admin=true;
  }
  if($is_admin)
  {
  do_something();
  }
  ?>
  这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交ex1.php?is_admin=true,就可以绕过check_admin()的验证:
  例2:
  PHP
  //ex2.php
  if(isset($_SESSION["username"]))
  {
  do_something();
  }
  else
  {
  echo"您尚未登录!";
  }
  ?>
  //ex2.php
  if(isset($_SESSION["username"]))
  {
  do_something();
  }
  else
  {
  echo"您尚未登录!";
  }
  ?>
  当register_globals=On时,我们提交ex2.php?_SESSION[username]=dodo,就具有了此用户的权限所以不管register_globals为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化。
  safe_mode
  安全模式,PHP用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。启用
  安全模式必须设置php.ini中的safe_mode=On
  1、限制文件存取
  safe_mode_include_dir=”/path1:/path2:/path3″
  不同的文件夹用冒号隔开
  2、限制环境变量的存取
  safe_mode_allowed_env_vars=string
  指定PHP程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars=PHP_ ,当这个选项的值为空时,那么php可以改变任何环境变量
  safe_mode_protected_env_vars=string用来指定php程序不可改变的环境变量的前缀。
  3、限制外部程序的执行
  safe_mode_exec_dir=string
  此选项指定的文件夹路径影响system、exec、popen、passthru,不影响shell_exec和“”。
  disable_functions=string
  不同的函数名称用逗号隔开,此选项不受安全模式影响。
  magicquotes
  用来让php程序的输入信息自动转义,所有的单引号(“’”),双引号(“””),反斜杠(“\”)和空字符(NULL),都自动被加上反斜杠进行转义magic_quotes_gpc=On用来设置magicquotes为On,它会影响HTTP请求的数据(GET、POST、Cookies)程序员也可以使用addslashes来转义提交的HTTP 请求数据,或者用stripslashes 来删除转义。
  PHP获取当前url的具体方法介绍
  我们今天向大家介绍的是有关PHP获取当前url的函数的具体方法,通过对这个函数方法的了解,进一步加深我们对PHP语言的认识,提高我们的学习水平。
  PHP获取当前url的具体方法如下:
  $url_this = "'http://'.$_SERVER['SERVER_NAME'].':'.$_SERVER["SERVER_PORT"].$_SERVER["REQUEST_URI"];;
  echo $url_this;
  则显示 :http://localhost/drupaluser/index.php
  服务器变量:$_SERVER
  注: 在 PHP 4.1.0 及以后版本使用。之前的版本,使用 $HTTP_SERVER_VARS。
  $_SERVER 是一个包含诸如头部(headers)、路径(paths)和脚本位置(scrīpt locations)的数组。数组的实体由 web 服务器创建。不能保证所有的服务器都能产生所有的信息;服务器可能忽略了一些信息,或者产生了一些未在下面列出的新的信息。这意味着,大量的这些变量在 CGI 1.1 specification 中说明,所以您应该仔细研究它。
  这是一个“superglobal”,或者可以描述为自动全局变量。这只不过意味这它在所有的脚本中都有效。在函数或方法中您不需要使用 global $_SERVER; 访问它,就如同使用 $HTTP_SERVER_VARS 一样。
  $HTTP_SERVER_VARS 包含着同样的信息,但是不是一个自动全局变量。(注意: $HTTP_SERVER_VARS 和 $_SERVER 是不同的变量,PHP 处理它们的方式不同。)
  如果设置了 register_globals 指令,这些变量也在所有脚本中可用;也就是,分离了 $_SERVER 和 $HTTP_SERVER_VARS 数组。相关信息,请参阅安全的相关章节 使用 Register Globals。这些单独的全局变量不是自动全局变量。
  您或许会发现下面列出的某些 $_SERVER 元素并不可用。注意,如果以命令行方式运行 PHP,下面列出的元素几乎没有有效的(或是没有任何实际意义的)。
  “PHP_SELF”
  当前正在执行脚本的文件名,与 document root相关。举例来说,在URL地址为 http://example.com/test.php/foo.bar的脚本中使用 $_SERVER['PHP_SELF'] 将会得到 /test.php/foo.bar 这个结果。
  如果 PHP 以命令行方式运行,该变量无效。
  “argv”
  传递给该脚本的参数。当脚本运行在命令行方式时,argv 变量传递给程序 C 语言样式的命令行参数。当调用 GET 方法时,该变量包含请求的数据。
  “argc”
  包含传递给程序的命令行参数的个数(如果运行在命令行模式)。
  “GATEWAY_INTERFACE”
  服务器使用的 CGI 规范的版本。例如,“CGI/1.1”。
  'SERVER_NAME'
  当前运行脚本所在服务器主机的名称。如果该脚本运行在一个虚拟主机上,该名称是由那个虚拟主机所设置的值决定。
  'SERVER_SOFTWARE'
  服务器标识的字串,在响应请求时的头部中给出。
  “SERVER_PROTOCOL”
  请求页面时通信协议的名称和版本。例如,“HTTP/1.0”。
  “REQUEST_METHOD”
  访问页面时的请求方法。例如:“GET”、“HEAD”,“POST”,“PUT”。
  “QUERY_STRING”
  查询(query)的字符串。
  “DOCUMENT_ROOT”
  当前运行脚本所在的文档根目录。在服务器配置文件中定义。
  “HTTP_ACCEPT”
  当前请求的 Accept: 头部的内容。
  “HTTP_ACCEPT_CHARSET”
  当前请求的 Accept-Charset: 头部的内容。例如:“iso-8859-1,*,utf-8”。
  “HTTP_ACCEPT_ENCODING”
  当前请求的 Accept-Encoding: 头部的内容。例如:“gzip”。
  “HTTP_ACCEPT_LANGUAGE”
  当前请求的 Accept-Language: 头部的内容。例如:“en”。
  “HTTP_CONNECTION”
  当前请求的 Connection: 头部的内容。例如:“Keep-Alive”。
  “HTTP_HOST”
  当前请求的 Host: 头部的内容。
  “HTTP_REFERER”
  链接到当前页面的前一页面的 URL 地址。不是所有的用户代理(浏览器)都会设置这个变量,而且有的还可以手工修改 HTTP_REFERER。因此,这个变量不总是正确真实的。
  “HTTP_USER_AGENT”
  当前请求的 User_Agent: 头部的内容。该字符串表明了访问该页面的用户代理的信息。一个典型的例子是:Mozilla/4.5 [en] (X11; U; Linux 2.2.9 i586)。您也可以使用 get_browser() 得到这个信息。
  “REMOTE_ADDR”
  正在浏览当前页面用户的 IP 地址。
  'REMOTE_HOST'
  正在浏览当前页面用户的主机名。反向域名解析基于该用户的 REMOTE_ADDR。
  注: 必须配置 Web 服务器来建立此变量。例如 Apache 需要在 httpd.conf 中有 HostnameLookups On。参见 gethostbyaddr()。
  “REMOTE_PORT”
  用户连接到服务器时所使用的端口。

上一篇:yii去掉必填项中星号的方法_PHP

下一篇:PHP二维数组排序的具体方法介绍