设计数据库第一步一般都是创建数据库,除非是使用第三方的数据库服务。当创建一个数据库的时候,会指定一个所有者来执行和新建语句。通常,只有所有者(或超级用户)才有权对数据库中的对象进行任意操作。如果想让其他用户使用,就必须赋予他们权限。应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据库的内容。应该为程序的...
很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查...
PHP 遵从大多数服务器系统中关于文件和目录权限的安全机制。这就使管理员可以控制哪些文件在文件系统内是可读的。必须特别注意的是全局的可读文件,并确保每一个有权限的用户对这些文件的读取动作都是安全的。PHP 被设计为以用户级别来访问文件系统,所以完全有可能通过编写一段 PHP 代码来读取系统文件如 /etc/passwd,更改网络连接以及发送大量打印任务等等。因此必须确保 PHP 代码读取和写入的是合适的文件。请看下面的代码,用...
安全模式限制函数大全dbmopen:检查被操作的文件或目录是否与被执行的脚本有相同的 UID(所有者)。dbase_open:检查被操作的文件或目录是否与被执行的脚本有相同的 UID(所有者)。filepro:检查被操作的文件或目录是否与被执行的脚本有相同的 UID(所有者)。filepro_rowcount:检查被操作的文件或目录是否与被执行的脚本有相同的 UID(所有者)。filepro_retrieve:检查被操作的文件或目录是否与被执行的脚本有相同的 UID(所有...
PHP 的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在 PHP 层上解决这个问题是不合理的,但修改 web 服务器层和操作系统层显得非常不现实。因此许多人,特别是 ISP,目前使用安全模式。以下是php.ini中关于安全模式的设置:safe_mode boolean是否启用 PHP 的安全模式。safe_mode_gid boolean默认情况下,安全模式在打开文件时会做 UID 比较检查。如果想将其放宽到 GID 比较,则打开...
一个PHP开发人员应主要熟悉以下的加密方式: l 对称加密l 非对称加密(公钥)l Hash函数(信息摘要)l 信息验证码 本附录主要关注于使用mcrypt扩展的对称加密算法。你需要参考的资料如下: 实用加密技术(Applied Cryptography), by Bruce Schneier (Wiley)http://www.schneier.com/blog/http://wikipedia.org/wiki/Cryptographyhttp://phpsec.org/articles/2005/password-hashing.htmlhttp://pe...
PHP 安全的电子邮件PHP E-mailPHP Error在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。PHP E-mail 注入首先,请看上一节中的 PHP 代码:<html> <body> <?php if (isset($_REQUEST[email])) //if "email" is filled out, send email{//send email$email = $_REQUEST[email] ; $subject = $_REQUEST[subject] ;$message = $_REQUEST[message] ;mail("someone@example.com", "Subject: $subject",$message, "From: $email" );echo...
从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本,这是由于与Linux/Unix系统是采用多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢,这是由于CGI模式是建立在多进程的基础之上的,而非多线程。一般我们会把PHP配置成以ISAPI的方式来运行,ISAPI是多线程的方式,这样就快多了。但存在一个问题,很多常用的PHP扩展是以Linux/Unix的多进程思想来开发的,...
前段时间做了南京邮电大学网络攻防平台上面的题目,写了一个writeup之后,还有必要总结一下。由于做的题目都是web类型的,所有的题目都是使用PHP来写的,所以很多题目并没有考察到传统的如SQL注入,XSS的类型的漏洞,很多都是PHP本身语法的问题。鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面。在PHP培训中的特性就是弱类型,以及内置函数对于传入参数的松散处理。本篇文章主要就是记录我在做攻防平...
主要针对两种情形:用户将Cookie进行破解 恶意用户劫持Cookie冒充登陆怎样设置Cookie才能记住用户的登陆状态并相对安全呢?回复内容:主要针对两种情形:用户将Cookie进行破解 恶意用户劫持Cookie冒充登陆怎样设置Cookie才能记住用户的登陆状态并相对安全呢?回答Session的朋友们,我猜测题主肯定是希望用户能够保存登录态,以便下次访问的时候自动登录。你们提Session,请问如下问题如何解决?Session 超时怎么算? SessionID 也需...
开发中,正式环境的数据库账号,密码,秘钥 是如何存储的? 存储到 配置文件中?存储到 环境变量中? 这样 开发者都能 看到这些密码。 如何才能让更少的人,知道这些关键密码呢?回复内容:开发中,正式环境的数据库账号,密码,秘钥 是如何存储的? 存储到 配置文件中?存储到 环境变量中? 这样 开发者都能 看到这些密码。 如何才能让更少的人,知道这些关键密码呢?OP 配置一个权限高的目录,把配置写入。这样线上的账号只有OP可...
主要从代码,数据库操作方面,如何基于laravel框架,在提升一下安全性?求指点和建议。回复内容:主要从代码,数据库操作方面,如何基于laravel框架,在提升一下安全性?求指点和建议。其实Laravel本身的安全性就非常高了,而且我似乎见过安全方面的扩展包,你可以找一下。
我没去过bat之类的大型公司,不知道大团队协作的时候是如何更新代码的,我工作过的公司一般有以下几种方式:1.我把更新代码打包给项目经理,项目经理部署到他的环境测试通过后,他用ftp更新到服务器.2.git上有两个分支,一个是测试分支,一个是主分支, 我们编码完成后把代码更新到测试分支,项目经理pull到他的环境,测试通过后合并到主分支中.3.我自己打包覆盖到服务器. 我想问的是如何制定一个安全的,严谨的,符合规范的流程并选取与之...
现在自己的网站用的都是session,但这样浏览器一关了登入状态就没了,很不方便怎么做【保持登入】功能,关于cookie方面的安全怎么做最好详细讲下,网上也没有具体的方案,希望有开发经验的人指导下回复内容:现在自己的网站用的都是session,但这样浏览器一关了登入状态就没了,很不方便怎么做【保持登入】功能,关于cookie方面的安全怎么做最好详细讲下,网上也没有具体的方案,希望有开发经验的人指导下需要说明的是,PHP的sessio...
网站后台使用https,一切操作(包括登录)都基于POST,都使用U盾进行挑战/响应校验,MD5和SHA1双校验,所有校验码都只能用一次,所有POST数据都参与校验码计算,本地目录完全只读(上传使用云存储,不使用本地),数据库纯内网访问,这样做是不是从代码层面就足够安全了?不考虑服务器本身漏洞、社工、旁注、DNS入侵等非程序代码层面的安全问题。 另外,构想一套蜜罐系统,系统只要检测到任意攻击行为,自动切换到蜜罐中,后台外观...