php 安全问题

做web开发,相信搭建都知道一些安全基本知识,”千万不能相信客户端数据“。而php又是一种弱类型语言。很多人在开发过程中忽略了类型转换,参数过滤直接量成不可估量的后果。

不使用过滤函数可能出现以下情况:

数据库被(sql)注入。直接可以导致你的系统崩溃,系统数据丢失,用户信息丢失。网站被挂马,遇到文件处理则可以将你的网站文件删除。

另外值得一提的是很多人认为开启php安全模式就万事大吉了。其实不然,很多注入者往往绕过正面,进行侧面进攻。

使用?0×7e,0×27等(ASCII码)字符串来充当引号,而php又无法过滤。注入的一般方式都是在参数里面加入很多mysql?sql语法,去获取敏感数据信息。

exp:and(select1from(select?count(*),concat((select(select(select?concat(0x7e,0x27,phpcms_member.username,0x27,0x7e)from?phpcms_member?limit0,1))from?information_schema.tableslimit0,1),floor(rand(0)*2))x?from?information_schema.tablesgroupby?x)a)and1=1

mysql information_schema.tables 所有用户都可见可查,能查出所有表结构信息,数据库信息。

php开源系统很多,很多开源系统大家知道数据结构,已级敏感信息表。(这里当然也包括不法分子)

这里指的敏感信息:往往是一些用户信息,管理端信息。现在md5的穷举一直在进行着。很多的md5加密之后的密码仍然能被解密成明文。

很多系统都做了相应的安全提升。

下面介绍以下常见手段:

使用过滤函数,php filter 安全过滤函数.md5( ?md5(‘用户密码’) . ‘私钥’ ) 得出加密结果。常用的php开源系统后台一定要修改目录名。很多系统后台直接使用admin作为后台入口。不要将phpmyadmin等数据库操作软件安置在网站可见目录。

等等。。之所以这样是由于现在大量存在扫描工具去扫描这样的管理端。

下面是惊心的一张图

?

mysql 注入

?

mysql 注入

出处:?马丁博客[http://www.blags.org/]

本文链接地址:?http://www.blags.org/php-security-issue/

?

相关文章

相关视频

php member limit,php 安全有关问题相关推荐

  1. php member limit,PHPAPP注入第十枚(未过滤)

    ### 简要描述: PHPAPP注入第十枚(未过滤) ### 详细说明: 在wooyun上看到了有人提了PHPAPP的漏洞: http://wooyun.org/bugs/wooyun-2010-05 ...

  2. mysql无序id怎么优化limit_MYSQL分页limit速度太慢优化方法

    原标题:MYSQL分页limit速度太慢优化方法 在mysql中limit可以实现快速分页,但是如果数据到了几百万时我们的limit必须优化才能有效的合理的实现分页了,否则可能卡死你的服务器哦. 当一 ...

  3. MySQL中的limit分页优化

    MySQL中的limit分页优化 MySQL的limit优化 mysql的分页比较简单,只需要limit offset,length就可以获取数据了,但是当offset和length比较大的时候,my ...

  4. mysql limit 分页 优化_MYSQL分页limit速度太慢优化方法

    在mysql中limit可以实现快速分页,但是如果数据到了几百万时我们的limit必须优化才能有效的合理的实现分页了,否则可能卡死你的服务器哦. 当一个表数据有几百万的数据的时候成了问题! 如 * f ...

  5. href up test.php,test.php

    /** * 环境监测程序 */ header('Content-Type: text/html; charset=utf-8'); error_reporting(E_ALL ^ E_NOTICE ^ ...

  6. Python UnitTest接口自动化实战

    目录 一.需注意事项 二.单元测试框架unittest 2.1 作用 2.2 测试用例(TestCase) 2.2.1 单元测试函数 2.2.2 测试函数的执行顺序 2.3 用例收集器(TestLoa ...

  7. mysql百万数据 查总数都特别慢_mysql百万级数据分页查询缓慢优化方法

    参考网址1:https://www.cnblogs.com/nightOfStreet/p/9647926.html           -------------修改需求 一.与产品商讨 修改需求 ...

  8. 墨者学院-SQL注入漏洞测试(布尔盲注)

    决心按部就班.由浅入深地去剖析下sql注入题目提供的靶场环境,完善自身解题思路.本题靶场环境比较简单.也比较常见,没有设置严格的过滤规则,仅仅是限制了页面的回显功能,属于比较初级的sql注入题目.废话 ...

  9. 1.10、Java面经 内容太杂不详细 没用

    1.1java 的 8 种基本数据类型 装箱 拆箱 https://blog.csdn.net/daidaineteasy/article/details/51088269 1.1.1.8 种基本数据 ...

最新文章

  1. centos mysql pmm_【MySQL】MySQL监控利器PMM
  2. 学习笔记之Java程序设计实用教程
  3. 使用Spring Boot和Kubernetes构建微服务架构
  4. 编码器的一点微小认识
  5. AX2012导Demo数据
  6. Android Studio(7)---查找例子
  7. 什么是hibernate N+1查询
  8. 人脸方向学习(十八):Face Landmark Detection-SAN-解读
  9. 如何判断各个IE浏览器版本
  10. SQL Server 默认跟踪应用4 -- 检测日志文件自动增长
  11. Vb中 继承 多态的实现
  12. 数仓工具—Hive的数据组织管理方式(4)
  13. 如何计算机网络打印机,如何共享网络打印机 共享网络打印机教程详解
  14. Foreda Workstation 36安装搜狗拼音输入法
  15. 华清远见上海中心22071班--11.19作业
  16. 美赛数模论文之公式写作
  17. matlab图像网格化像素提取像素扩大图片分块
  18. 配置 WinHTTP 的代理设置
  19. 应急照明市电检测_A型0.5KVA应急照明集中电源ty-d市电检测 市电监测
  20. 老师就是学生的天-- 恩人意识,青天意识从娃娃抓起

热门文章

  1. 调一调Hive on Spark参数,毫不夸张的说,使其性能达到最大化!
  2. java基础----IO字节流
  3. leetcode 686. Repeated String Match | 686. 重复叠加字符串匹配(KMP)
  4. 【SpringBoot】SpringBoot、ThemeLeaf 官方文档地址
  5. linux perl 安装目录,肿么查看linux是否安装了perl
  6. idea console中文乱码_idea控制台tomcat中文乱码的处理方法
  7. Java Fork/Join 框架
  8. 京东面试题:Java中 ++i 的操作是线程安全的么?为什么?如何使其线程安全呢?
  9. kotlin学习之对象(九)
  10. 快用一用 lambda 表达式吧,让你的代码更简洁、更漂亮!