X
活动推荐

爆款云服务器低至4折,1核1G¥366/年

企业级性能云服务器限时2折起
新用户5折爆款服务器会场
查看详情
阅读模式:

php网站开发安全小常识

查看:3835  回复:0  类型:  来源:php自学网  标签 php web安全

防注入式攻击:

1.    过滤非法字符 : -  *|and|exec|insert|select|delete|update|count|master|truncate|declare|char(|mid(|chr(|'

“  /  -  , | <  >

网站可能由于功能需要部分输入框可能会用到特殊字符, 具体视情况而定.

2.利用SqlCommand传参数的方法:
string strSQL="SELECT * FROM [user] WHERE user_id=@id";
SqlCommand cmd = new SqlCommand();
cmd.CommandText = strSQL;
cmd.Parameters.Add("@id",SqlDbType.VarChar,20).Value=Request["id"].ToString();

3.
动态存储过程, 会拼接字符串, 一般除了查询可直接用 EXEC的方式, 有更新或者删除操作,还需使用参数的形式


4. 不返回后台的错误信息,仅显示用户友好的提示信息

5. 文件上传,不可指定服务器文件目录,由服务端指定文件夹, 可将上传目录不放在网站根目录下,  上传目录的文件夹权限做限制, 例如如果图片上传后,仅需读取图片,文件夹设置只设置只读权限, 无写或者修改的权限.

6. 数据库访问账号不能使用管理员账号, 列入仅仅是get 数据,可以创建 对应角色,只赋予读取数据的权限。  Update delete 分别创建对应角色。

7. 防XSS 攻击 。后台对关键信息输入需进行验证,前台验证不一定可靠,传输对象可被篡改。例如所有页面后台都需验证登陆信息。

验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下:
输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。
输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。
明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。
注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。
警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。


8. 使用HTTPS 而不是用http

9. 用户账号密码加密建议使用SSL加密,MD5可被暴力破解。

10.配置文件中账号密码不能使用明文,需加密 。

分享到:
0 0

*有问题之处烦请在评论中指出非常感谢!
不是我想要的内容,继续搜索:

扫描二维码手机查看

发布评论:


登录:
  表情:
评论话题
推荐阅读:
php中地址引用&的真正理解-变量引用、函数引用、对象引用   阅读:4977javascript点击复制内容   阅读:5850php打印九九乘法表   阅读:8266mongodb设置shell开机启动脚本   阅读:8592php压缩页面的html代码一行显示   阅读:6313php 生成图片,给图片加水印   阅读:4975小米手机端商城rem适配原理   阅读:6151centos 7 安装 samba 服务   阅读:5805php翻转字符串   阅读:2812浅谈javascript的函数节流   阅读:4102centos 7 添加 redis 3.2.9 开机启动脚本   阅读:8408面试都会问你为什么你从上一家公司离职的真实意思   阅读:9935简单的DOS攻击之死亡之ping详解   阅读:45218php删除一个文件夹内的所有文件夹和文件   阅读:4245关于PHP程序员技术职业生涯规划   阅读:2146mysql5.7主从同步配置   阅读:3559shell脚本统计当前服务器并发连接数   阅读:6247php中地址引用&的真正理解-变量引用、函数引用、对象引用   阅读:4977phpexcel 超简单从数据库一键导出数据到excel教程   阅读:6556nginx安装redis模块   阅读:3861shell脚本破解十位数内的所有纯数字rar加密压缩包脚本   阅读:7748mysql5.7主从同步中binlog同步模式详解   阅读:5169session与cookie的区别   阅读:3676php打印九九加法表   阅读:8686linux时间戳有趣的情人节秒1234567890   阅读:4864php 获取当前前后年、月、星期、日、时分秒的时间   阅读:5803一键分享到QQ空间、QQ好友、新浪微博、微信代码   阅读:120243给 centos 7 安装桌面环境   阅读:15835shell脚本批量删除几天前的文件   阅读:8291php+redis实现消息队列   阅读:12139人性漫画:打工与创业的残酷区别   阅读:4157网站性能优化-页面静态缓存   阅读:4938php中地址引用&的真正理解-变量引用、函数引用、对象引用   阅读:4977人性漫画:打工与创业的残酷区别   阅读:4157session与cookie的区别   阅读:3676什么是天使轮?什么是A轮融资?B轮融资?   阅读:3921linux教程,鸟哥私房菜(pdf全集)   阅读:8108封装php redis缓存操作类   阅读:7977php打印三角形   阅读:7387web项目高并发量网站解决方案   阅读:4017最新centos7 搭建LNMP环境(centos7.2+php7+mysql5.7+nginx1.11+redis3.2)   阅读:9819十张GIF让你弄懂递归等概念   阅读:5359mysql数据一键导出到csv文件   阅读:4937最新centos7 搭建LNMP环境(centos7.2+php7+mysql5.7+nginx1.11+redis3.2)   阅读:9819web性能测试工具ab的测试方法   阅读:4118php压缩页面的html代码一行显示   阅读:6313centos 7 安装 redis 3.2.9   阅读:5920centos 7 开启网络   阅读:5848小米手机端商城rem适配原理   阅读:6151centos7中颁发CA证书并开启web https   阅读:5677