多数大学生出来选择的工作和专业无关
首页 > 专业知识

PHP需要注意的网站安全性问题

时间:2018-08-06 19:23:38 [来源]:郑州PHP培训学校

   PHP需要注意的网站安全性问题

  针对PHP的网站主要存在下面几种攻击方式:
  1、命令注入(Command Injection)
  2、eval注入(Eval Injection)
  3、客户端脚本攻击(Script Insertion)
  4、跨网站脚本攻击(Cross Site Scripting, XSS)
  5、SQL注入攻击(SQL injection)
  6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
  7、Session 会话劫持(Session Hijacking)
  8、Session 固定攻击(Session Fixation)
  9、HTTP响应拆分攻击(HTTP Response Splitting)
  10、文件上传漏洞(File Upload Attack)
  11、目录穿越漏洞(Directory Traversal)
  12、远程文件包含攻击(Remote Inclusion)
  13、动态函数注入攻击(Dynamic Variable Evaluation)
  14、URL攻击(URL attack)
  15、表单提交欺骗攻击(Spoofed Form Submissions)
  16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
  以后的每期连载,会逐个介绍这些漏洞的原理和防御方法。
  几个重要的php.ini选项:
  RegisterGlobals
  php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals
  的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患。
  例1:
  //check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作。
  PHP
  //ex1.php
  if(check_admin())
  {
  $is_admin=true;
  }
  if($is_admin)
  {
  do_something();
  }
  ?>
 
  //ex1.php
  if(check_admin())
  {
  $is_admin=true;
  }
  if($is_admin)
  {
  do_something();
  }
  ?>
  这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交http://www.sectop.com/ex1.php?is_admin=true,就可以绕过check_admin()的验证:
  例2:
  PHP
  //ex2.php
  if(isset($_SESSION["username"]))
  {
  do_something();
  }
  else
  {
  echo"您尚未登录!";
  }
  ?>
  //ex2.php
  if(isset($_SESSION["username"]))
  {
  do_something();
  }
  else
  {
  echo"您尚未登录!";
  }
  ?>
  当register_globals=On时,我们提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用户的权限所以不管register_globals为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化。
  safe_mode
  安全模式,PHP用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。启用
  安全模式必须设置php.ini中的safe_mode=On
  1、限制文件存取
  safe_mode_include_dir=”/path1:/path2:/path3″
  不同的文件夹用冒号隔开
  2、限制环境变量的存取
  safe_mode_allowed_env_vars=string
  指定PHP程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars=PHP_ ,当这个选项的值为空时,那么php可以改变任何环境变量
  safe_mode_protected_env_vars=string用来指定php程序不可改变的环境变量的前缀。
  3、限制外部程序的执行
  safe_mode_exec_dir=string
  此选项指定的文件夹路径影响system、exec、popen、passthru,不影响shell_exec和“”。
  disable_functions=string
  不同的函数名称用逗号隔开,此选项不受安全模式影响。
  magicquotes
  用来让php程序的输入信息自动转义,所有的单引号(“’”),双引号(“””),反斜杠(“\”)和空字符(NULL),都自动被加上反斜杠进行转义magic_quotes_gpc=On用来设置magicquotes为On,它会影响HTTP请求的数据(GET、POST、Cookies)程序员也可以使用addslashes来转义提交的HTTP 请求数据,或者用stripslashes 来删除转义。
 
  PHP页面缓存技术详解分析教程
  WEB程序获取信息的方式主要是查询数据库,当数据库不是很大的情况下不会有太大的问题.然而,随着网站的发展,数据库呈几何级数的方式增长的时候,就会出现瓶颈.于是PHP缓存技术诞生了。PHP缓存包括PHP编译缓存和PHP数据缓存两种。
  PHP缓存技术详解PHP是一种解释型语言,属于边编译边运行的那种。这种运行模式的优点是程序修改很方便,但是运行效率却很低下。PHP编译缓存针对这种情况做改进处理,使得PHP语言只要运行一次,就可以把程序的编译结果缓存起来。这样,接下来的每次运行都不需要再次编译了,这大大提高PHP运行速度。
  PHP数据缓存运用于PHP实际开发之中针对数据处理进行缓存,主要两大方向为:针对数据库数据进行缓存和针对PHP模板数据进行缓存。
  PHP编译缓存:目前最常见的PHP编译缓存工具有:APC,Accelerator,xcache(国产)等。
  PHP是一种解释型语言,在PHP语言执行代码的时候,需要下面两步:
  1、编译过程。PHP读取文件,并编译该文件,然后生成能够在Zend Engine虚拟机上执行的中间码。
  2、执行过程。PHP直接执行中间码。
  以下两种情况,会导致PHP运行程序代码效率低下:
  1、即使PHP代码文件没有发生改变,也会被PHP重新编译。
  2、如有引用文件,PHP也要花费时间重新编译这些被引用的文件。因此,需要PHP编译缓存工具对PHP程序的编译结果做缓存处理。这样,PHP程序只要编译一次,就不要重新再做无意义的编译了。
  PHP数据缓存:PHP的数据缓存包括针对数据库数据进行缓存和针对PHP模板数据进行缓存。针对数据库数据进行缓存的工具有memcache等。针对PHP模板数据进行缓存的工具主要有smarty等。
  1、全页面静态化缓存
  也就是将页面全部生成html静态页面,用户访问时直接访问的静态页面,而不会去走php服务器解析的流程。此种方式,在CMS系统中比较常见,比如dedecms;一种比较常用的实现方式是用输出缓存:
  Ob_start()
  ******要运行的代码*******
  $content = Ob_get_contents();
  ****将缓存内容写入html文件*****
  Ob_end_clean();
  2、页面部分缓存
  该种方式,是将一个页面中不经常变的部分进行静态缓存,而经常变化的块不缓存,最后组装在一起显示;可以使用类似于ob_get_contents的方式实现,也可以利用类似ESI之类的页面片段缓存策略,使其用来做动态页面中相对静态的片段部分的缓存(ESI技术,请baidu,此处不详讲)。该种方式可以用于如商城中的商品页;
  3、数据缓存
  顾名思义,就是缓存数据的一种方式;比如,商城中的某个商品信息,当用商品id去请求时,就会得出包括店铺信息、商品信息等数据,此时就可以将这些数据缓存到一个php文件中,文件名包含商品id来建一个唯一标示;下一次有人想查看这个商品时,首先就直接调这个文件里面的信息,而不用再去数据库查询;其实缓存文件中缓存的就是一个php数组之类;
  Ecmall商城系统里面就用了这种方式;
  4、查询缓存
  其实这跟数据缓存是一个思路,就是根据查询语句来缓存;将查询得到的数据缓存在一个文件中,下次遇到相同的查询时,就直接先从这个文件里面调数据,不会再去查数据库;但此处的缓存文件名可能就需要以查询语句为基点来建立唯一标示;按时间变更进行缓存其实,这一条不是真正的缓存方式;上面的2、3、4的缓存技术一般都用到了时间变更判断;就是对于缓存文件您需要设一个有效时间,在这个有效时间内,相同的访问才会先取缓存文件的内容,但是超过设定的缓存时间,就需要重新从数据库中获取数据,
  并生产最新的缓存文件;
  比如,我将我们商城的首页就是设置2个小时更新一次;
  5、按内容变更进行缓存
  这个也并非独立的缓存技术,需结合着用;就是当数据库内容被修改时,即刻更新缓存文件;比如,一个人流量很大的商城,商品很多,商品表必然比较大,这表的压力也比较重;我们就可以对商品显示页进行页面缓存;当商家在后台修改这个商品的信息时,点击保存,我们同时就更新缓存文件;那么,买家访问这个商品信息时,实际上访问的是一个静态页面,而不需要再去访问数据库;是想,如果对商品页不缓存,那么每次访问一个商品就要去数据库查一次,如果有10万人在线浏览商品,那服务器压力就大了;

上一篇:PHP获取真实客户端的真实IP

下一篇:如何正确实现PHP生成唯一标识符