PHP安全之Web攻击

1、SQL注入攻击(SQL Injection)

攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或做为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如：
1.某个Web应用有一个登陆页面，这个登陆页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；
2.登陆页面中输入的内容将直接用来构造动态的SQL命令，或者直接用做存储过程的参数；
例如：

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容；
4.用户输入的内容提交给服务器以后，服务器运行上面的代码构造出查询用户的SQL命令，但因为攻击者输入的内容很是特殊，因此最后获得的SQL命令变成：

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；
6.因为SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，因此系统会错误地受权给攻击者。
若是攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
系统环境不一样，攻击者可能形成的损害也不一样，这主要由应用访问数据库的安全权限决定。若是用户的账户具备管理员或其余比较高级的权限，攻击者就可能对数据库的表执行各类他想要作的操做，包括添加、删除或更新数据，甚至可能直接删除表
防范方法：
1.检查变量数据类型和格式
2.过滤特殊符号
3.绑定变量，使用预处理语句

2、跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上，其余用户在加载网页时就会执行代码，攻击者可能获得包括但不限于更高的权限（如执行一些操做）、私密网页内容、会话和cookie等各类内容。这些恶意代码一般是JavaScript、HTML以及其余客户端脚本语言。
例如：

<?php
echo "欢迎您，".$_GET['name'];

若是传入一段脚本<script>[code]</script>，那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框：http://localhost/test.php?name=<script>alert(123456)</script>
经常使用的攻击手段有：
盗用cookie，获取敏感信息；
利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动做，或执行一些通常的如发微博、加好友、发私信等操做；
利用可被攻击的域受到其余域信任的特色，以受信任来源的身份请求一些平时不容许的操做，如进行不当的投票活动；
在访问量极大的一些页面上的XSS能够攻击一些小型网站，实现DDoS攻击的效果。
防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

3、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，而后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引起跨站请求伪造攻击。攻击者利用隐蔽的HTTP链接，让目标用户在不注意的状况下单击这个连接，因为是用户本身点击的，而他又是合法用户拥有合法权限，因此目标用户可以在网站内执行特定的HTTP连接，从而达到攻击者的目的。
它与XSS的攻击方法不一样，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 经过假装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=100，item参数肯定要购买什么物品，num参数肯定要购买数量，若是攻击者以隐藏的方式发送给目标用户连接
，那么若是目标用户不当心访问之后，购买的数量就成了100个
防范方法：
一、检查网页的来源
二、检查内置的隐藏变量
三、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

4、Session固定攻击(Session Fixation)

攻击者预先设定session id，让合法用户使用这个session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就能够经过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站http:///www.bank.com，获取他本身的session id，如：SID=123；
2.攻击者给目标用户发送连接，并带上本身的session id，如：http:///www.bank.com/?SID=123；
3.目标用户点击了http:///www.bank.com/?SID=123，像往常同样，输入本身的用户名、密码登陆到网站；
4.因为服务器的session id不改变，如今攻击者点击http:///www.bank.com/?SID=123，他就拥有了目标用户的身份，能够随心所欲了。
防范方法：
1.按期更改session id

session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session

2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，若是攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用连接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，可是没法得知$sid的值，只要检查sid的值，就能够确认当前页面是不是web程序本身调用的

5、Session劫持攻击(Session Hijacking)

攻击者利用各类手段来获取目标用户的session id。一旦获取到session id，那么攻击者能够利用目标用户的身份来登陆网站，获取目标用户的操做权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各类session id，直到破解为止;
2.计算:若是session id使用非随机的方式产生，那么就有可能计算出来;
3.窃取:使用网络截获，xss攻击等方法得到
防范方法：
1.按期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。经过设置Cookie的HttpOnly为true，能够防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

6、文件上传漏洞攻击(File Upload Attack)

攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并得到执行服务器端命令的能力。
经常使用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其余策略文件利用方式相似)；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来讲，利用的上传文件要么具有可执行能力(恶意代码)，要么具有影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后没法访问；再来就是像shell、.php 、.rar和crossdomain.xml这种文件，都将由于重命名而没法攻击；
4.单独设置文件服务器的域名：因为浏览器同源策略的关系，一系列客户端攻击将失效，好比上传crossdomain.xml、上传包含Javascript的XSS利用等问题将获得解决。

查看更多：
开发一个微信小程序实例教程
HTTP协议整理
秒杀系统设计优化
MySQL优化
Linux下常见的IO模型