学习PHP精粹,编写高效PHP代码之安全性
1、过滤输入、避免输出php
有时咱们将短语“过滤输入、避免输出”缩写为FIEO,这已成为PHP应用程序的安全真言。html
一、利用ctype进行验证web
ctype:http://php.net/ctype正则表达式
二、利用PCRE(Perl兼容的正则表达式)进行验证sql
PCRE:http://php.net/pcre数据库
2、跨站脚本浏览器
跨站脚本一般简称为XSS,攻击载体以在应用程序输出中由用户提供的变量所在位置为目标,但该变量没有适当地转义。这容许攻击者注入他们选择的一个客户端脚本做为这个变量值的一部分。下面是代码受到这种类型攻击的示例:安全
<form action="<?php echo $_SERVER['PHP_SELF'];?>"> <input type="submit" value="submit" /></form>
在线资源:服务器
一、http://ha.ckers.org/xss.htmlsession
二、http://shiflett.org/articles/cross-site-scripting
三、http://seancoates.com/blogs/xss-woes
3、伪造跨站脚本
比方说,某个攻击者想从一个流行的在线商店中获得一个昂贵的商品而不用付钱。相反,他们想让一个绝不知情的受害者支付这笔金额。他们选择的武器是:一个伪造的跨站请求。这种攻击类型的目标就是让受害者发送一个请求到某个特定的网站,从而利用受害者在该网站已经注册的身份信息。
在线资源:
一、http://shiflett.org/articles/cross-site-request-forgeries
二、http://shiflett.org/articles/foiling-cross-site-attacks
4、会话固定
如前所示,用户会话是一个常常受到攻击的目标,这种对潜在的受害者和目标网站的识别能力使得一些攻击有隙可乘。这里有3种攻击者得到有效会话标示符的方法。按难度顺序排列,它们分别是:
一、固定
二、捕获
三、预测
在线资源:
一、http://shiflett.org/articles/session-fixation
二、http://phpsec.org/projects/guide/4.html#4.1
三、http://www.owasp.org/index.php/Session_fixation
5、会话劫持
会话劫持这个词有些难懂,由于咱们用它描述两件事情:
一、致使攻击者得以进入网站上与受害者帐户相关联的会话,而无论他如何获取访问权的任何类型的攻击。
二、须要捕获一个已创建的会话标识符,而不是经过固定技术或预测取得会话标识符的特定类型攻击。
在线资源:
一、http://shiflett.org/articles/session-hijacking
二、http://shiflett.org/articles/the-truth-about-sessions
三、http://phpsec.org/projects/guide/4.html#4.2
6、SQL注入
这种类型攻击的性质与前面所讲过的“过滤输入、避免输出”有关。基本上,SQL注入很是相似于XSS,在XSS中,攻击对象使得应用程序认为用户输入的含义超过了它所表明的数据。XSS的目的是让那些输入做为客户端代码而被执行;而SQL注入的目的是让这些输入被认为是一个SQL查询,或者是查询的一部分。
在线资源:
一、http://shiflett.org/articles/sql-injection
二、http://phpsec.org/projects/guide/3.html#3.2
7、储存密码
在Web应用程序能有效处理数据库查询中用户输入的状况下,攻击者需使用更普遍的手段访问用户帐户。通常来讲,其中也包括获取受害者的访问凭证来访问他们的数据。
其中一个实现方法即是强行进入Web应用程序使用的数据库服务器。根据你使用何种数据库、数据库如何配置等相关信息,攻击者有不少的侵入方法。
在线资源:
一、http://php.net/mcrypt
二、http://www.openwall.com/phpass/
三、http://codahale.com/how-to-safely-store-a-password/
8、暴力破解攻击
对攻击者而言,侵入数据库或解密加密的密码技术门槛太高。在这种状况下,攻击者可能尝试使用一个脚本,模拟一个正经常使用户使用浏览器登陆到Web应用程序的HTTP请求,他们用给定用户名和随机密码尝试登入,直到找到正确的密码。这种方式成为“暴力破解攻击”。
在线资源:
一、https://www.owasp.org/index.php/Brute_force_attack
二、http://en.wikipedia.org/wiki/Brute-force_attack
9、SSL
在线资源:
一、http://arst.ch/bgm
二、http://www.owasp.org/index.php/SSL_Best_Practices
PHP安全相关资源:
一、http://www.php.net/manual/en/security.php PHP手册中有关于各类安全问题的章节
二、http://phpsecurity.org/ 这是《Essential PHP Security》一书的相关网站
三、http://phpsec.org/projects/guide/ PHP安全协会的项目之一就是《PHP Security Guide》
四、http://www.enigmagroup.org/ 该网站提供了针对Web应用程序和论坛的许多潜在攻击载体的相关信息和实用练习。
- 1. 学习PHP精粹,编写高效PHP代码之质量保证
- 2. 《PHP精粹:编写高效PHP代码》——3.3节数据格式
- 3. 《PHP精粹:编写高效PHP代码》——1.2节OOP简介
- 4. 《PHP精粹:编写高效PHP代码》——1.6节接口
- 5. 《PHP精粹:编写高效PHP代码》——1.7节异常
- 6. 《PHP精粹:编写高效PHP代码》——2.4节PHP数据库对象
- 7. 《PHP精粹:编写高效PHP代码》——2.6节高级PDO特征
- 8. 《PHP精粹:编写高效PHP代码》——2.7节设计数据库
- 9. 《PHP精粹:编写高效PHP代码》——1.3节对象的继承
- 10. 《PHP精粹:编写高效PHP代码》——2.6节处理PDO中的错误
- 更多相关文章...
- • C# 不安全代码 - C#教程
- • XML 编码 - XML 教程
- • 适用于PHP初学者的学习线路和建议
- • Tomcat学习笔记(史上最全tomcat学习笔记)
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 学习PHP精粹,编写高效PHP代码之质量保证
- 2. 《PHP精粹:编写高效PHP代码》——3.3节数据格式
- 3. 《PHP精粹:编写高效PHP代码》——1.2节OOP简介
- 4. 《PHP精粹:编写高效PHP代码》——1.6节接口
- 5. 《PHP精粹:编写高效PHP代码》——1.7节异常
- 6. 《PHP精粹:编写高效PHP代码》——2.4节PHP数据库对象
- 7. 《PHP精粹:编写高效PHP代码》——2.6节高级PDO特征
- 8. 《PHP精粹:编写高效PHP代码》——2.7节设计数据库
- 9. 《PHP精粹:编写高效PHP代码》——1.3节对象的继承
- 10. 《PHP精粹:编写高效PHP代码》——2.6节处理PDO中的错误