PHP安全问题总结之有哪些?[图]
1、XSS
Cross-SiteScripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。
来源
来自用户的UGC信息
来自第三方的链接
URL参数
POST参数
Referer(可能来自不可信的来源)
Cookie(可能来自其他子域注入)
转义、过滤、限制长度
2、SQL注入
通过SQL语句,实现无账号登录,甚至篡改数据库。
如何防御SQL注入
1、检查变量数据类型和格式2、过滤特殊符号3、绑定变量,使用预编译语句
3、CSRF
CSRF一般指跨站请求伪造CSRF攻击的全称是跨站请求伪造(crosssiterequestforgery),是一种对网站的恶意利用。
CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站,攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。
4、CC攻击
(1)CC攻击的原理:
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
CC主要是用来消耗服务器资源的,每个人都有这样的体验:
当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
(2)CC攻击的种类:
CC攻击的种类有三种,
直接攻击
代理攻击
僵尸网络攻击
直接攻击主要针对有重要缺陷的WEB应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。
5、DOS攻击
中文名称是拒绝服务,一切能引起DOS行为的攻击都被称为DOS攻击。该攻击的效果是使得计算机或网络无法提供正常的服务。常见的DOS攻击有针对计算机网络带宽和连通性的攻击。DOS是单机于单机之间的攻击。
DOS攻击的原理:
首先攻击者向被攻击的服务器发送大量的虚假IP请求,被攻击者在收到请求后返回确认信息,等待攻击者进行确认,(此处需要拥有HTTP协议工作方式和TCP三次握手的基本知识)该过程需要TCP的三次握手,由于攻击者发送的请求信息是虚假的,所以服务器接收不到返回的确认信息,在一段时间内服务器会处与等待状态,而分配给这次请求的资源却没有被释放。
当被攻击者等待一定的时间后,会因连接超时而断开,这时攻击者在次发送新的虚假信息请求,这样最终服务器资源被耗尽,直到瘫痪。
PHP简介:
PHP原始为PersonalHomePage的缩写,已经正式更名为"PHP:HypertextPreprocessor"。自20世纪90年代国内互联网开始发展到现在,互联网信息几乎覆盖了我们日常活动所有知识范畴,并逐渐成为我们生活、学习、工作中必不可少的一部分。把家人比喻成动物的作文(https://www.yuananren.com/zuowen/10997.html)据统计,从2003年开始,我国的网页规模基本保持了翻番的增长速度,并且呈上升趋势。PHP语言作为当今最热门的网站程序开发语言,它具有成本低、速度快、可移植性好、内置丰富的函数库等优点,因此被越来越多的企业应用于网站开发中。但随着互联网的不断更新换代,PHP语言也出现了不少问题。
6、DDOS攻击
DDoS攻击就是分布式的拒绝服务攻击,DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,随着计算机与网络技术的发展,DoS攻击的困难程度加大了。
于是就产生了DDoS攻击,它的原理就很简单:计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用,那么DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。常用的DDoS软件有:LOIC。
PHP模板之Smarty模板介绍
Smarty模板是怎样设计的?
来源:oschina
链接:https://my.oschina.net/u/4663607/blog/4701577