Viele Leute treffen in ihrer täglichen Arbeit auf PHP-Angriffe. Sie gehen auf unterschiedliche Weise mit diesen Problemen um. Schauen wir uns einige gängige PHP-Angriffe und ihre Lösungen an. Ich hoffe, sie können Ihnen bei Ihrer Arbeit helfen.
1. SQL-Injektion
SQL-Injection ist ein böswilliger Angriff. Der Benutzer beeinflusst die normale SQL-Ausführung, indem er SQL-Anweisungen in Formularfelder eingibt. Ein anderer wird über den Befehl system() oder exec() eingefügt. Es hat den gleichen SQL-Injection-Mechanismus, aber nur für Shell-Befehle.
SQL-Injection-Optionen verhindern:
(1) Verwenden Sie mysql_real_escape_string(), um die Daten zu filtern.
(2) Prüfen Sie manuell, ob alle Daten den richtigen Datentyp aufweisen.
(3) Verwenden Sie vorverarbeitete Anweisungen und Bindevariablen.
(4) Verwenden Sie die vorbereiteten vorverarbeiteten Anweisungen.
(5) Trennung von Daten und SQL-Logik.
(6) Die vorverarbeitete Anweisung wird automatisch gefiltert (zB: escape).
2. XSS-Angriffe
XSS (Cross-Site-Scripting-Angriff) ist ein Angriff. Der Benutzer gibt einige Daten in eine persönliche Website ein. Dazu gehört auch clientseitiges Scripting (normalerweise JavaScript). Wenn Sie nicht filtern, geben Sie die Daten auf einer anderen Webseite aus. Das Skript wird ausgeführt, um den vom Benutzer übermittelten Textinhalt zu empfangen.
Um XSS-Angriffe zu verhindern, können Sie die PHP-Funktion htmlentities() zum Filtern und zur Ausgabe an den Browser verwenden. Die grundlegende Verwendung von htmlentities() ist einfach. Aber es gibt auch viele erweiterte Steuerelemente, wie in der XSS-Lookup-Tabelle gezeigt.
Angesichts der üblichen PHP-Angriffe müssen wir wissen, woher sie kommen. Analysieren Sie sie rational und schneiden Sie ihre Informationen ab, und machen Sie den Schutz gut.
Leave a Comment