我个人不懂编程,找了一群小伙伴做一个网站,做到支付系统时,小伙伴们说不知道如何防止被黑,大神们支支招跪谢了~~
我个人不懂编程,找了一群小伙伴做一个网站,做到支付系统时,小伙伴们说不知道如何防止被黑,大神们支支招跪谢了~~
如果您能帮忙也好,但是没有太多钱付,最好就是指点指点,我付个好处感激费。谢谢啦~~~
这个问题已被关闭,原因:非开发直接相关的问题
回复内容:
我个人不懂编程,找了一群小伙伴做一个网站,做到支付系统时,小伙伴们说不知道如何防止被黑,大神们支支招跪谢了~~
如果您能帮忙也好,但是没有太多钱付,最好就是指点指点,我付个好处感激费。谢谢啦~~~
关系到钱的问题,一般人不懂的黑,牛B点的不屑于黑,实在有人干了这种事情记得用法律来解决。
防止被黑注意做好日志,别被人弄了还找不到是谁弄的。
简单点的问题可以找一个安全测试工具测试一下一些简单的问题还是可以避免掉的,测试工具比如AppScan
楼上也说了,用https协议传输可以避免数据被劫持后篡改。
1、sql注入,很多初学者会认为这个是安全的:
sql="select * from members where id='".$id."'";
因为这个代码,我就被人注入过,注入了webshell,还被人盗钱了。
2、不要跟第三方代码放一个服务器上,比如你要用论坛,discuz,绝对不要放一起,搞个单独的服务器,并且这个服务器对数据库的访问权限要控制,就是说这个服务器被黑了也不能操作核心数据库(支付系统)
3、如果可以,代码里面不要出现数据库密码。我目前是在启动nginx的时候提供密码,启动完成就删除密码。那么源码泄露(比如被安装了webshell)也不会泄露数据库密码。但是不泄露数据库密码就不等于不能操作数据库。如果被注入了webshell,他可以调用你写好的程序,比如一般对数据库操作你会封装一下。你正常的业务代码能调用,被注入的代码也能调用。那么如何防止被恶意调用呢?可以加密码验证。要有个前提,所有操作数据库的源码都要加密,如果是php,用类似zendguard加密,然后在每个php头部,设置密码,如dbtoken=md5($_PHPSELF."xxxkkk");然后在db的封装里面验证这个密码是否正确,不对就终止执行。这样被注入webshell之后,他要么在你原来的文件上修改,但是你加密过了,他就没法修改。要么就是另外生成文件,另外的文件phpself不一样,密码也不一样,你就可以判断这个是攻击代码了。
4、经常检查总金额,做个检查程序,看看总金额是否0.总金额就是所有收入-支出-用户存款。这个应该永远是0.如果数据库被黑了,用户修改了他的存款,那么总金额就会是负数。就可以知道被黑了。
预防csrf攻击
协议用https
可以外包出去,乌云网之类的有专业的人
支付系统一般都是直接使用第三方的 alipay unionpay qq-wx pay ....一般不会被黑把,资金都是从第三方账户直接到企业账户,网站最多也就是维护一个account关系和支付数额而已??
使用第三方支付sdk或者类似stripe的整合方案:https://pingxx.com/
自己做支付功能代价搞到小公司无法承担,你要拿到银联和信用卡的认证。。。使用三方sdk来完成支付功能,安全由它们替你保障吧。
现在有不少做安全测试的网站,可以去给自己的网站做一下安全测试,低端的黑客能利用的漏洞基本都能被发现
可以搜一下nginx+lua可以简单的做一个waf,或者借助第三方云平台吧,好多都有防护功能
个人觉得外包出去借助第三方平台
一般都是使用已有api或者外包出去吧
做好验证、鉴权,留好日志;找第三方平台,比如:支付宝、微信、易宝等,但是这只能解决一部分问题,最关键的还是自己的业务处理,
一般来说,做好以下两点就可以了:
<code>1. 参数过滤,token验证。 2. 支付成功后,验证支付金额</code>
首先声明,并不是打广告,既然你一点头绪都没有,那么自己做安全这块肯定是行不通的,建议你可以去看看这个网址,里面说到的牛盾云安全,newdefend产品主要就是网站的安全加速,亮点就是安全这一块,而且目前是有免费使用的,你可以咨询一下客服试试看,或许可以解决你的问题
https://www.newdefend.com/
建议用已有的支付API

热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3汉化版
中文版,非常好用

禅工作室 13.0.1
功能强大的PHP集成开发环境

Dreamweaver CS6
视觉化网页开发工具

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、

静态绑定(static::)在PHP中实现晚期静态绑定(LSB),允许在静态上下文中引用调用类而非定义类。1)解析过程在运行时进行,2)在继承关系中向上查找调用类,3)可能带来性能开销。

PHP的魔法方法有哪些?PHP的魔法方法包括:1.\_\_construct,用于初始化对象;2.\_\_destruct,用于清理资源;3.\_\_call,处理不存在的方法调用;4.\_\_get,实现动态属性访问;5.\_\_set,实现动态属性设置。这些方法在特定情况下自动调用,提升代码的灵活性和效率。

在PHP中可以通过使用不可预测的令牌来有效防范CSRF攻击。具体方法包括:1.生成并在表单中嵌入CSRF令牌;2.在处理请求时验证令牌的有效性。

PHP和Python各有优势,选择依据项目需求。1.PHP适合web开发,尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能,语法简洁,适合初学者。

在PHP8 中,match表达式是一种新的控制结构,用于根据表达式的值返回不同的结果。1)它类似于switch语句,但返回值而非执行语句块。2)match表达式使用严格比较(===),提升了安全性。3)它避免了switch语句中可能的break遗漏问题,增强了代码的简洁性和可读性。

PHP是一种广泛应用于服务器端的脚本语言,特别适合web开发。1.PHP可以嵌入HTML,处理HTTP请求和响应,支持多种数据库。2.PHP用于生成动态网页内容,处理表单数据,访问数据库等,具有强大的社区支持和开源资源。3.PHP是解释型语言,执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时,可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7

PHP的未来将通过适应新技术趋势和引入创新特性来实现:1)适应云计算、容器化和微服务架构,支持Docker和Kubernetes;2)引入JIT编译器和枚举类型,提升性能和数据处理效率;3)持续优化性能和推广最佳实践。
