Explication détaillée des exemples de sécurité PHP

1. Injection SQL

En insérant des commandes SQL dans le formulaire Web pour soumettre ou saisir la chaîne de requête du nom de domaine ou de la demande de page, et enfin tromper l'exécution du serveur Commandes SQL malveillantes.

Défense : filtrez d'abord, puis effectuez la liaison des paramètres.

2. XSS

Cross Site Scripting >Principe : Intégration de scripts dans des pages Web de différentes manières pour réaliser une attaque. fins.

Défense : Filtrer l'entrée.

3. CSRF

$id = (int) $_REQUEST['id'];if( $id > 0 ){}

$name = htmlentities($_REQUEST['name'], ENT_QUOTES, "UTF-8");// 注意，如果这里不进行转化也是可以的，// 只要在输出的时候进行转化(建立在已经参数绑定的情况下)。

Faux de demande intersite

Principe : Helen s'est connectée à Weibo puis a consulté un site nuisible. Un faux message sur le site nuisible a été publié sur Weibo. À ce moment-là, Helen a publié un Weibo sans le savoir.

Défense : intégrez un jeton aléatoire dans la page Weibo et le serveur Weibo vérifie la valeur du jeton.

4. Clickjacking

ClickJacking

Principe : environ là Il y a deux manières. La première est que l'attaquant utilise une iframe transparente, la recouvrant sur une page Web, puis incite l'utilisateur à opérer sur la page. À ce moment-là, l'utilisateur cliquera sur la page iframe transparente sans le savoir ; autre est L'attaquant utilise une image pour couvrir la page Web, bloquant l'emplacement d'origine de la page Web.

Défense : utilisez js pour déterminer si le cadre est sous le même nom de domaine. Ajouter une directive d'en-tête : X-Frame-Options.

5. Téléchargement de fichiers

// js if (top.location.hostname !== self.location.hostname) {    alert("您正在访问不安全的页面，即将跳转到安全页面！");    top.location.href = self.location.href;}// Apache 配置：Header always append X-Frame-Options SAMEORIGIN// nginx 配置：add_header X-Frame-Options SAMEORIGIN;

Principe : Différents types de logiciels illégaux peuvent être téléchargés.

Défense : type de détection, taille de détection.

6. zip *

Principe : Certains fichiers zip semblent très petits mais sont très volumineux après décompression

Défense : Ne faites pas cela : décompressez, traitez, puis compressez les fichiers compressés téléchargés par les utilisateurs. Car lorsque vous décompressez, votre serveur risque d’être encombré.

7. Détournement de session

Principe : Lorsque le client et le serveur communiquent, le pirate capture le paquet et obtient le sessionid , et finalement le pirate informatique communique avec le serveur.

Défense : Définissez HttpOnly et réinitialisez l'ID de session de temps en temps.

8. Stockage du mot de passe

9. >

Sécurité du serveur

$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true

1. Modifier le port 22

/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/

2. Modifier le nom de la racine MySQL

3. Interdire la connexion à distance root

vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器，不要忘记修改阿里云安全组

🎜>

# 修改 mysql 数据库中的 user 表，然后 flush privileges

1. >

En insérant des commandes SQL dans des formulaires Web pour soumettre ou saisir des noms de domaine ou des chaînes de requête pour les requêtes de page, cela incite finalement le serveur à exécuter une commande SQL malveillante.

vi /etc/ssh/sshd_configPermitRootLogin

Défense : filtrez d'abord, puis effectuez la liaison des paramètres.

2. XSS

Cross Site Scripting >Principe : Intégration de scripts dans des pages Web de différentes manières pour réaliser une attaque. fins.

Défense : Filtrer l'entrée.

3. CSRF

Faux de demande intersite

Principe : Helen s'est connectée à Weibo puis a consulté un site nuisible. Un faux message sur le site nuisible a été publié sur Weibo. À ce moment-là, Helen a publié un Weibo sans le savoir.

Défense : intégrez un jeton aléatoire dans la page Weibo et le serveur Weibo vérifie la valeur du jeton.

4. Détournement de clics

$id = (int) $_REQUEST['id'];if( $id > 0 ){}

$name = htmlentities($_REQUEST['name'], ENT_QUOTES, "UTF-8");// 注意，如果这里不进行转化也是可以的，// 只要在输出的时候进行转化(建立在已经参数绑定的情况下)。

Détournement de clics

原理：大概有两种方式，一是攻击者使用一个透明的 iframe ，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的 iframe 页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置。

防御：使用 js 判断框架是否在同一个域名下。添加头部指令： X-Frame-Options。

// js if (top.location.hostname !== self.location.hostname) {    alert("您正在访问不安全的页面，即将跳转到安全页面！");    top.location.href = self.location.href;}// Apache 配置：Header always append X-Frame-Options SAMEORIGIN// nginx 配置：add_header X-Frame-Options SAMEORIGIN;

5. 上传文件

原理：可能会被上传各种类型的非法软件。

防御：检测类型，检测大小。

6. zip *

原理：有些 zip 文件看起来很小，解压后非常大

防御：不要做这样的操作：对用户上传的压缩文件解压，处理，再压缩。因为你解压的时候，很可能你的服务器就被挤爆了。

7. session 劫持

原理：客户端和服务端通信时候，黑客抓包，获取 sessionid ，最终黑客与服务器通信。

防御:
 设置 HttpOnly，时常重设 sessionid。

8. 密码存储

$hashedPassword = password_hash('password', PASSWORD_DEFAULT);password_verify('the wrong password', $hashedPassword); // falsepassword_verify('my super cool password', $hashedPassword); // true

9. 暴力破解

/**防御:1. 限制次数2. 验证码3. 防火墙分析 类似 fail2ban*/

服务器安全

1. 修改 22 端口

vi /etc/ssh/sshd_configfirewall-cmd --list-allfirewall-cmd --add-port=8888/tcp --permanentfirewall-cmd --reload# 如果是阿里云服务器，不要忘记修改阿里云安全组

2. 修改 mysql root 名称

# 修改 mysql 数据库中的 user 表，然后 flush privileges

3. 禁止 root 远程登陆

vi /etc/ssh/sshd_configPermitRootLogin

相关推荐：

PHP安全地上传图片

PHP安全开发库详解

php安全配置记录和常见错误的详细总结介绍

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!