PHP+Mysql开发的网站安全问题？

作者：亮铮铮安神_453 | 来源：互联网 | 2018-05-24 12:36

用PHP+Mysql开发的站点，在安全问题上都应该注意哪些呢？望详细~感谢

用PHP+Mysql开发的站点，在安全问题上都应该注意哪些呢？望详细~ 感谢

回复内容：

用PHP+Mysql开发的站点，在安全问题上都应该注意哪些呢？望详细~ 感谢

1.对用户输入进行安全过滤
2.关闭PHP危险函数
3.关闭PHP错误提示
4.关闭PHP超全局变量
5.注意XSS攻击
6.避免SQL注入
7.上传验证
...

需要关注的问题主要有以下几种
1.SQL注入
2.XSS
防范上面两种攻击的措施是过滤输入变量，转义输出的变量，建议使用白名单机制
3.文件包含
使用动态文件包含且变量没有过滤会引发这种攻击，详情看我写的这篇文章
4.路径遍历
配置文件设置不合理等会造成这个漏洞，详情看我写的这篇文章
5.文件上传漏洞
允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码，详情看sebug的这篇文章

最后建议题主看下这篇文章：PHP漏洞挖掘思路+实例

注意所使用的框架bug

推荐阅读

int
浅解XXE与Portswigger Web Sec

XXE与PortswiggerWebSec相关链接：博客园安全脉搏FreeBufXML的全称为XML外部实体注入，在学习的过程中发现有回显的XXE并不多，而 ... [详细]

蜡笔小新 2023-10-17 16:52:48
php
揭秘阿里云WAF背后神秘的AI智能防御体系

背景应用安全领域，各类攻击长久以来都危害着互联网上的应用，在web应用安全风险中，各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]

蜡笔小新 2023-12-11 01:30:52
php
通过存储型XSS漏洞获取目标用户本地私钥信息

运维|安全存储型XSS漏洞,目标用户,本地,私钥信息运维-安全舍得网源码,vscode代码检查工具,ubuntu壁纸修改,tomcat网页部署项目,爬虫枯木,php采集文件,马鞍山 ... [详细]

蜡笔小新 2023-10-14 18:07:34
php
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
php
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
php
PHP中的MySQL函数库及其常用函数介绍

本文由编程笔记小编整理，介绍了PHP中的MySQL函数库及其常用函数，包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 08:19:53
fetch
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
fetch
绕过WAF的XSS检测机制及构建XSS payload的方法

本文介绍了绕过WAF的XSS检测机制的方法，包括确定payload结构、测试和混淆。同时提出了一种构建XSS payload的方法，该payload与安全机制使用的正则表达式不匹配。通过清理用户输入、转义输出、使用文档对象模型（DOM）接收器和源、实施适当的跨域资源共享（CORS）策略和其他安全策略，可以有效阻止XSS漏洞。但是，WAF或自定义过滤器仍然被广泛使用来增加安全性。本文的方法可以绕过这种安全机制，构建与正则表达式不匹配的XSS payload。 ... [详细]

蜡笔小新 2023-12-11 19:42:30
php
介绍一个免费的具备数据显示/录入/更新/删除功能的asp.net控件

本文介绍了一个免费的asp.net控件，该控件具备数据显示、录入、更新、删除等功能。它比datagrid更易用、更实用，同时具备多种功能，例如属性设置、数据排序、字段类型格式化显示、密码字段支持、图像字段上传和生成缩略图等。此外，它还提供了数据验证、日期选择器、数字选择器等功能，以及防止注入攻击、非本页提交和自动分页技术等安全性和性能优化功能。最后，该控件还支持字段值合计和数据导出功能。总之，该控件功能强大且免费，适用于asp.net开发。 ... [详细]

蜡笔小新 2023-12-11 09:41:26
php
互联网思维中的3个段子，9大分类和19条法则

本文介绍了互联网思维中的三个段子，涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例，探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验，三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ... [详细]

蜡笔小新 2023-12-10 14:58:10
php
Mybatis中#与$的区别及其作用详解

本文详细介绍了Mybatis中#与$的区别及其作用。#{}可以防止sql注入，拼装sql时会自动添加单引号，适用于单个简单类型的形参。${}则将拿到的值直接拼装进sql，可能会产生sql注入问题，需要手动添加单引号，适用于动态传入表名或字段名。#{}可以实现preparedStatement向占位符中设置值，自动进行类型转换，有效防止sql注入，提高系统安全性。 ... [详细]

蜡笔小新 2023-12-10 14:30:39
sum
从壹开始前后端分离【 .NET Core2.0 +Vue2.0 】框架之六 || API项目整体搭建 6.1 仓储模式

代码已上传Github+Gitee，文末有地址　　书接上文：前几回文章中，我们花了三天的时间简单了解了下接口文档Swagger框架，已经完全解放了我们的以前的Word说明文档，并且可以在线进行调 ... [详细]

蜡笔小新 2023-10-17 18:25:42
header
跨站的艺术XSS Fuzzing 的技巧

作者|张祖优(Fooying)腾讯云云鼎实验室对于XSS的漏洞挖掘过程，其实就是一个使用Payload不断测试和调整再测试的过程，这个过程我们把它叫做F ... [详细]

蜡笔小新 2023-10-16 12:14:23
php
2月4日每日安全热点节日期间某企远程办公遭XRed攻击

2月4日每日安全热点节日期间某企远程办公遭XRed攻击 ... [详细]

蜡笔小新 2023-10-15 16:30:44
php
JVM（三）虚拟机栈多合一总述

虚拟机栈概述虚拟机栈出现背景：由于跨平台性的设计，Java的指令都是根据栈来设计的。不同CPU架构不同，所以不能设计为基于寄存器的跨平台的优点：指令集小，编译器容易实现，缺点是性能 ... [详细]

蜡笔小新 2023-10-15 15:47:54

亮铮铮安神_453

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章