本文由ChatMoney 团队创建
sql注入
漏洞描述
当应用程序将用户输入直接组合到SQL 语句中时,攻击者可以注入恶意SQL 代码来更改原始查询并获取或损坏数据库信息。
防御措施
预处理语句
使用准备好的语句可以有效防止SQL 注入,因为参数值不被视为SQL 的一部分。
$stmt=$pdo-prepare(\’从用户名=:username 的用户中选择*\’);
$stmt-execute([\’用户名\’=$_post[\’用户名\’]]);
使用pdo或mysqli
请务必使用pdo 或mysqli 扩展并启用它们提供的模拟预处理功能。
转义输入
如果不可能准备好语句,您至少应该正确转义用户输入。
$username=$db-real_escape_string($_post[\’用户名\’]);
$query=\’从用户名=\’$username\’\’的用户中选择*;
使用orm
对象关系映射(ORM) 工具通常提供内置的SQL 注入保护。
跨站脚本攻击(xss)
漏洞描述
攻击者可以将恶意脚本注入网站,该脚本可以在其他用户浏览该网站时执行,从而可能导致信息泄露。
防御措施
过滤和转义输出
从所有输出数据中删除HTML 实体编码或标签。
echo htmlspecialchars($user_input,entry_tags, $charset);
内容安全策略(csp)
使用http 标头content-security-policy 来限制浏览器加载页面时的外部资源权限。
使用http only cookie
为了防止客户端脚本访问cookie,请将cookie属性设置为httponly。
setcookie(\’session_id\’, \’.\’, httponly=true);
跨站请求伪造(csrf)
漏洞描述
攻击者在其他选项卡或窗口中使用您经过身份验证的身份来诱骗您单击链接或访问网站以执行意外操作。
防御措施
使用csrf tokens
在表单中嵌入与用户会话关联的随机生成的令牌,并在提交时验证该令牌。
//生成csrf 令牌$_sssion[\’csrf_token\’]=bin2hex(random_bytes(32));
//将token添加到表单中
输入类型=\’隐藏\’ 名称=\’csrf_token\’ 值=\’?php echo $_sssion[\’csrf_token\’] ?\’
//验证tokenif ($_post[\’csrf_token\’] !=$_sssion[\’csrf_token\’]) {//拒绝请求
}
验证请求来源
检查http Referrer 标头以确保请求来自合法来源。
同步操作确认
对于敏感操作,要求用户重新输入密码或进行二次验证。
文件上传漏洞
漏洞描述
用户可以上传恶意文件(例如脚本文件)来控制服务器或利用文件中的漏洞执行远程代码。
防御措施
文件类型检查
仅允许上传预定义的文件类型并检查文件扩展名。
$allowed_types=[\’图像/jpeg\’, \’图像/png\’];
$file_type=exif_imagetype($_files[\’upload\’][\’tmp_name\’]);
if (!in_array($file_type, $allowed_types)) {//拒绝上传
}
文件内容检查
使用clamav等文件扫描工具扫描上传文件的内容。
文件权限和路径
上传文件的保存目录必须没有执行权限,并且不能位于可通过Web访问的路径下。
使用白名单机制
您不应使用黑名单来排除不安全的文件类型,而应使用白名单来仅允许某些安全文件类型。
关于我们
本文由ChatMoney 团队创建。 ChatMoney专注于AI应用的落地和变现,提供持续更新的AI源代码系统和一整套可执行的变现计划,帮助更多人利用AI,我们致力于帮助您实现业务变现。访问ChatMoney 获取更多AI 变现计划!
以上#PHP常见安全漏洞及防御相关内容来源于网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92013.html
