php 安全問題

做web開發，相信搭建都知道一些安全基本知識，”千萬不能相信客戶端數據“。而php又是一種弱類型語言。很多人在開發過程中忽略了類型轉換，參數過濾直接量成不可估量的后果。

不使用過濾函數可能出現以下情況：

數據庫被(sql)注入。直接可以導致你的系統崩潰，系統數據丟失，用戶信息丟失。網站被掛馬，遇到文件處理則可以將你的網站文件刪除。

另外值得一提的是很多人認為開啟php安全模式就萬事大吉了。其實不然，很多注入者往往繞過正面，進行側面進攻。

使用?0×7e,0×27等(ASCII碼)字符串來充當引號，而php又無法過濾。注入的一般方式都是在參數里面加入很多mysql?sql語法，去獲取敏感數據信息。

exp：and(select1from(select?count(*),concat((select(select(select?concat(0x7e,0x27,phpcms_member.username,0x27,0x7e)from?phpcms_member?limit0,1))from?information_schema.tableslimit0,1),floor(rand(0)*2))x?from?information_schema.tablesgroupby?x)a)and1=1

mysql information_schema.tables 所有用戶都可見可查，能查出所有表結構信息，數據庫信息。

php開源系統很多，很多開源系統大家知道數據結構，已級敏感信息表。(這里當然也包括不法分子)

這里指的敏感信息：往往是一些用戶信息，管理端信息。現在md5的窮舉一直在進行著。很多的md5加密之后的密碼仍然能被解密成明文。

很多系統都做了相應的安全提升。

下面介紹以下常見手段：

使用過濾函數，php filter 安全過濾函數.md5( ?md5(‘用戶密碼’) . ‘私鑰’ ) 得出加密結果。常用的php開源系統后臺一定要修改目錄名。很多系統后臺直接使用admin作為后臺入口。不要將phpmyadmin等數據庫操作軟件安置在網站可見目錄。

等等。。之所以這樣是由于現在大量存在掃描工具去掃描這樣的管理端。

下面是驚心的一張圖

?

mysql 注入

?

mysql 注入

出處:?馬丁博客［http://www.blags.org/］

本文鏈接地址:?http://www.blags.org/php-security-issue/

?

相關文章

相關視頻

總結

以上是生活随笔為你收集整理的php member limit,php 安全有关问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。