HTTP攻击与防范PHP安全配置
1什么是安全性
所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平安无事了,那么您对安全性的真正意义可以说是完全不了解。
2 register global
从PHP4.2.0开始,php.ini的register_global选项的默认值预设为Off。当register_globals设定为On时,您的程序将可以接收来自服务器中的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.例如HTML表单的请求变量。由于PHP不需要事先初始化变量的值,这就会更容易写出不安全的代码。这是个很艰难的抉择,但PHP社区还是决定默认关闭此选项。当打开时,人们使用变量时确实不知道变量是哪里来的,只能想当然。但是register_globals的关闭改变了这种代码内部变量和客户端发送的变量混杂在一起的糟糕情况。
3 安全模式
安全模式( safe_mode)是PHP用来限制文档的存取、限制环境变量的存取,以及控制外部程序的执行。
由于网站服务器是以单一系统使用者的模式在运行,因此这个系统的使用者账号必须能够读取每个使用者的文档。这表示在网站服务器上执行的任何代码文档都能够存取每个使用者的文档。PHP的安全模式在多用户的系统上设置一些限制选项来保障程序的安全运行。安全模式只能限制PHP的文档,但是不能限制PHP执行的外部应用程序。因此将可执行的应用程序放置在一个安全的文件夹内,不要让外部用户执行。 启动PHP的安全模式,将php.ini文件的safe_mode选项(directive)设置为On:
safe_mode = On
事例1:
test.php内容如下:
<?php if($authorized){ echo "变量赋值"; }else{ echo "变量没有赋值"; }当php.ini中的register_globals=Off时
访问网址:http://localhost/test.php?authorized=1
输出结果为:
变量没有赋值。
当php.ini中的register_globals=On时
攻击:
变量未初始化,可以通过url对变量赋值
输出结果为
变量赋值
防护:
变量初始化,阻止通过url对变量赋值进行攻击。
需将代码改为:
<?php $authorized=false; if($authorized){ echo "变量赋值"; }else{ echo "变量没有赋值"; }事例2:
例如:test.php内容如下:
<?phpif (isset($_SESSION['username'])){ echo "访问者:".$_SESSION['username'];}else{ echo "访问者尚未登陆";}当访问http://localhost/test.php时,
输出:访问者尚未登陆
攻击:
在网址后面追加?_SESSION[username]=admin
即:http://localhost/test.php?_SESSION[username]=admin
输出:访问者:admin
防护:
session_start()开启session,获取session中的值,阻止通过url对session变量进行注入攻击。
代码改为<?phpsession_start ();if(isset($_SESSION['username'])){ echo "访问者:".$_SESSION['username'];}else{ echo "访问者尚未登陆";}事例3:
当php.ini中的allow_url_fopen = On时
demo.php中的内容如下:
<?php @include "$path";if(!isset($path)){ echo "文件没有被调用";}test.php中的内容为:
<?phpecho "this is test.php。文件被调用。";
当访问网址:
http://localhost/demo.php时
输出:文件没有被调用。
攻击:
在链接后面拼接?path=test.php
即:访问http://localhost/demo.php?path=test.php
输出:this is test.php。文件被调用。
保护:
同上对path变量初始化。
注:
可以调用ini_get_all函数来显示 PHP的设定值。
例如:
<?php echo "<pre class="brush:php;toolbar:false">"; print_r(ini_get_all()); echo "
运行结果部分如下:
可以通过
<?phpini_set ("allow_url_fopen",1);在php文件中修改配置
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
说明PHP中的安全密码散列(例如,password_hash,password_verify)。为什么不使用MD5或SHA1?
Apr 17, 2025 am 12:06 AM
在PHP中,应使用password_hash和password_verify函数实现安全的密码哈希处理,不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希,增强安全性。2)password_verify验证密码,通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值,不适合现代密码安全。
PHP类型提示如何起作用,包括标量类型,返回类型,联合类型和无效类型?
Apr 17, 2025 am 12:25 AM
PHP类型提示提升代码质量和可读性。1)标量类型提示:自PHP7.0起,允许在函数参数中指定基本数据类型,如int、float等。2)返回类型提示:确保函数返回值类型的一致性。3)联合类型提示:自PHP8.0起,允许在函数参数或返回值中指定多个类型。4)可空类型提示:允许包含null值,处理可能返回空值的函数。
PHP和Python:解释了不同的范例
Apr 18, 2025 am 12:26 AM
PHP主要是过程式编程,但也支持面向对象编程(OOP);Python支持多种范式,包括OOP、函数式和过程式编程。PHP适合web开发,Python适用于多种应用,如数据分析和机器学习。
在PHP和Python之间进行选择:指南
Apr 18, 2025 am 12:24 AM
PHP适合网页开发和快速原型开发,Python适用于数据科学和机器学习。1.PHP用于动态网页开发,语法简单,适合快速开发。2.Python语法简洁,适用于多领域,库生态系统强大。
PHP和Python:深入了解他们的历史
Apr 18, 2025 am 12:25 AM
PHP起源于1994年,由RasmusLerdorf开发,最初用于跟踪网站访问者,逐渐演变为服务器端脚本语言,广泛应用于网页开发。Python由GuidovanRossum于1980年代末开发,1991年首次发布,强调代码可读性和简洁性,适用于科学计算、数据分析等领域。
PHP和框架:现代化语言
Apr 18, 2025 am 12:14 AM
PHP在现代化进程中仍然重要,因为它支持大量网站和应用,并通过框架适应开发需求。1.PHP7提升了性能并引入了新功能。2.现代框架如Laravel、Symfony和CodeIgniter简化开发,提高代码质量。3.性能优化和最佳实践进一步提升应用效率。
为什么要使用PHP?解释的优点和好处
Apr 16, 2025 am 12:16 AM
PHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用,适合初学者;2)与web服务器集成好,支持多种数据库;3)拥有如Laravel等强大框架;4)通过优化可实现高性能;5)支持多种操作系统;6)开源,降低开发成本。
PHP的影响:网络开发及以后
Apr 18, 2025 am 12:10 AM
PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip
