首页 / PHP / php – 如何增强网站的安全性？

php – 如何增强网站的安全性？

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php – 如何增强网站的安全性？，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2554字，纯文字阅读大概需要4分钟。

内容图文

问题1：
我可以使用$userid = mysql_real_escape_string($_ GET [‘user_id’]);

或者我需要使用下面的代码更好？

function mysql_prep( $value ){
        $magic_quotes_active = get_magic_quotes_gpc();
        $new_enough_php = function_exists( "mysql_real_escape_string" ); //example. php >= v4.3.0
        if( $new_enough_php ) { //php v4.30 or higher, undo any magic quote effects so mysql_real_escape_string can do the work
            if( $magic_quotes_active ) { $value = stripslashes( $value );}
            $value = mysql_real_escape_string( $value );
        } else { //before php v4.3.0.
            if( !$magic_quotes_active ) { $value = addslashes( $value ); }
        }
        return $value;
    }

$userid = trim(mysql_prep($_GET['user_id']));

问题2：我们真的需要在$_SESSION [‘user_id’]上使用md5()或shal()吗？为什么我们需要那个？会话劫持者只能得到会话ID,但他不能得到会话变量值吗？如果是这样,那么我不需要哈希$_SESSION [‘user_id’]的值了吗？例如：

if (isset($_POST['login'])) {
        if ($username==$user_username_in_db && $hashed_password==$user_password_in_db) {
                $_SESSION['user_id'] = sha1($user_id_in_db); //sha1 convert userid to crazy long characters
        }
}

$query2 = "SELECT id FROM user WHERE sha1(id)='{$userid}' LIMIT 1";

问题3：由于php会话劫持发生且我无法负担使用ssl / https,所以我让网站每次尝试删除消息或朋友时都要求用户提交密码,因为会话劫持者可能冒充用户删除他的消息/朋友.如果我的网站总是要求用户输入密码,我可以知道这是危险的吗？密码会更容易被黑客攻击？我是否知道会话劫持者只能冒充用户,但不能窃取用户的密码？

解决方法:

问题1：如果您的user_id在数据库中存储为整数,则可以使用：

$user_id = intval($_GET['user_id']);

因此,如果有人篡改了查询字符串,那么所有可能发生的事情就是他们得到一个空白的结果.但是,目前还不清楚你如何使用$_GET [‘user_id’];

问题2：sha1和md5是哈希算法.这意味着对于任何长度的任何给定字符串,它们都会返回一个显示为41/32字节十六进制字符串的数字.

有什么用？使用的是那些算法是不可逆的,这使得它们非常适合隐藏某人的用户名和密码等信息.
许多人为所有事情使用同一个密码,以确保他们的密码不会被盗,以防你搞砸了,黑客可以访问你的数据库 – 你为用户提供了另一层安全 – 没有人应该是能够从哈希中获取实际密码.当然,这也可以防止有权访问数据库的人阅读人的密码并破坏他们的隐私.
现在,有一些方法可以尝试将哈希值反转为纯文本(所谓的彩虹表),但这是另一个主题.

问题3：您实际上应该首先防止会话劫持.为什么会这样？您是否以某种方式(通过URL)向公众公开session_id并且您是否正在实施标准检查？

偶尔询问密码对用户来说是一种烦恼,应该避免,除非你想不出保护会话的方法.

至于其他的东西,有一些叫做PHP PDO的东西,理论上应该使用清理字符串,连接到数据库并将内容插入数据库更容易(虽然它比常规的mysql_或mysqli_函数相当复杂,所以人们似乎避免它).您至少应该阅读它以了解它的作用以及它如何帮助您防止SQL注入.

内容总结

以上是互联网集市为您收集整理的php – 如何增强网站的安全性？全部内容，希望文章能够帮你解决php – 如何增强网站的安全性？所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/750934.html

来源：【匿名】

【上一篇】php – 持久连接的最后一个id 【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【php – 如何增强网站的安全性？】教程文章相关的互联网学习教程文章

PHP做APP接口时，如何保证接口的安全性？

思路：Token授权机制：用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。Token是客户端访问服务端的凭证。时间戳超时机制：用户每次请求都带上当前时间的时间戳timestamp，服务端接收到timestamp后跟当前时间进行比对，如果时间差大于一定时间（比如5分钟），则认为该请求失效。时间戳超...

PHP安全性考虑

用户提交的数据很多PHP 程序所存在的重大弱点并不是PHP 语言本身的问题，而是编程者的安全意识不高而导致的。因此，必须时时注意每一段代码可能存在的问题，去发现非正确数据提交时可能造成的影响。例子30-1. 危险的变量用法 <?php// 从用户目录中删除一个文件，或者……能删除更多的东西？unlink ($evil_var);// 记录用户的登陆，或者……能否在/etc/passwd 添加数据？fwrite ($fp, $evil_var);// 执行一些普通的命令，或者……可...

PHP安全性漫谈分享

本文所讨论的安全性环境是在Linux+Apache+Mysql+PHP。超出此范围的安全性问题不在本文范畴之内一、apache server安全性设置 1、以Nobody用户运行一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。 User nobody Gr...

php语言网站如何加强安全性【图】

用Suhosin加强PHP脚本语言安全性PHP是一种非常流行的网站脚本语言，但是它本身所固有的安全性是非常薄弱。PHP增强计划(Hardened-PHP project)和新的Suhosi计划，Suhosin提供了增强的PHP的安全配置。PHP是带有争论地但又是最流行的一种网站脚本语言。它之所以流行，是因为它低廉的价格，然而，这低廉的价格导致用 PHP写的网站应用程序越来越多的同时也越来越多的展现出PHP本身在安全上的脆弱，这种安全特性显示出PHP是极不可靠。（推...

php接口怎么保证安全性【图】

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用，下面具体来看：(1)Token授权机制：(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。（推荐学习：PHP编程从入门到精通）(2)时间戳超时机制：(签名机...

开发中php安全性考虑哪些【图】

开发中php安全性要考虑哪些？1、把握整站的结构，避免泄露站点敏感目录在写代码之初，我也是像很多老源码一样，在根目录下放上index.php、register.php、login.php，用户点击注册页面，就跳转到http://localhost/register.php。并没有太多的结构的思想，像这样的代码结构，最大的问题倒不是安全性问题，而是代码扩展与移植问题。在写代码的过程中，我们常要对代码进行修改，这时候如果代码没有统一的一个入口点，我们可能要改很多地...

php为何安全性差【图】

银行系统的开发，以及其他金融类型的开发为什么会使用java开发而不是用php？php为什么不安全？java又安全在哪些方面？1.PHP是弱数据类型的语言，Java是强制类型的语言，数据类型要求更为严格，这一特性使得Java运行起来更为健壮。2.PHP的require()包含文件，尤其是动态包含文件的时候，会有安全隐患。3.Java各种体系解决方案比PHP要多，不过Java开发周期比较长，小的公司不会首选Java。(php视频教程)4.银行金融系统采用Java，有可能...

java和php的安全性对比【图】

在编程领域，java这门编程语言可谓无人不知，无人不晓，应用领域也相当广泛。想比与java，php更适合的领域则体现在网站方面，二者各有优劣。对于java来说，更适合在大型应用系统施展手脚，应用前景广阔，系统维护性好，有着较高的可复用性；而对于php，则更适合快速的中小型应用开发，开发成本低，同时能够对变动的需求做出快速反应。那么，作为开发人员，有一样东西是大家都要注意的，那就是安全性。那么二者的安全性如何呢？接下...

excel宏安全性PHP编程安全性小结

规则 1：绝不要信任外部数据或输入　　关于 Web 应用程序安全性，必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。　　对用户输入进行清理的一个简单方法是，使用正则表达式来处理它。　　规则 2：禁用那些使安全性难...

PHP中的密码安全性PasswordHashing详解

本篇文章主要介绍PHP中的密码安全性Password Hashing详解，感兴趣的朋友参考下，希望对大家有所帮助。如果你还在用md5加密，建议看看下方密码加密和验证方式。先看一个简单的Password Hashing例子：<?php//require password.php; /*** 正确的密码是secret-password* $passwordHash 是hash 后存储的密码* password_verify()用于将用户输入的密码和数据库存储的密码比对。成功返回true，否则false*/ $passwordHash = password_hash(s...

php中codeigniter安全性注意事项图文详解

本篇文章主要介绍php中codeigniter安全性注意事项，感兴趣的朋友参考下，希望对大家有所帮助。1、httponlysession一定要用httponly的否则可能被xxs攻击，利用js获取cookie的session_id。要用框架的ci_session，更长的位数，httponly，这些默认都配好了。不要用原生的phpsession，而要用ci_session。ci_session位数更长。如果要用原生的session，应该这样设置（php.ini）：session.sid_length //sid的长度，这里要加长，默认的太短了...

如何使用PHP将URL地址参数进行加密传输提高网站安全性

这篇文章介绍的内容是关于如何使用PHP将URL地址参数进行加密传输提高网站安全性，有着一定的参考价值，现在分享给大家，有需要的朋友可以参考一下大家在使用PHP进行GET或POST提交数据时，经常会在URL带着参数进行传递，比如www.mdaima.com/get.php?id=1&page=5，这里就将id编号和page页码进行了参数传递，如果这样直接明文传输，会将参数直接暴露给用户，要是是比较重要的数据这样传输我觉得还是不太安全。那如果将参数变成下面这样...

常见的PHP安全性攻击及解决办法

本文主要和大家分享常见的PHP安全性攻击及解决办法，了解常见的PHP应用程序安全威胁，可以确保你的PHP应用程序不受攻击。因此，本文将列出 6个常见的 PHP 安全性攻击，欢迎大家来阅读和学习。1、SQL注入SQL注入是一种恶意攻击，用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的，它具有相同的SQL注入机制，但只针对shell命令。01 $username = $_POST[username];02 $query...

如何提高cookie的安全性

一、对保存到cookie里面的敏感信息必须加密二、设置HttpOnly为true1、该属性值的作用就是防止Cookie值被页面脚本读取。2、但是设置HttpOnly属性，HttpOnly属性只是增加了攻击者的难度，Cookie盗窃的威胁并没有彻底消除，因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。三、设置Secure为true1、给Cookie设置该属性时，只有在https协议下访问的时候，浏览器才会发送该Cookie。2、把cookie设置为secure，只保证cookie与WEB服...

如何制作安全性高的php网站，制作网站需要注意的安全问题总结

大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样，PHP也有几个很危险的安全漏洞。所以在这篇教学文章中，我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。技巧1：使用合适的错误报告一般在开发过程中，很多程序员总是忘了制作程序错误报告，这是极大的错误，因为恰当的错误报告不仅仅是最好的调试工具，也是极佳的安全漏洞检测工具，这能让你把应用真正上线前尽可能找出你将会遇到的问...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / php – 如何增强网站的安全性？

php – 如何增强网站的安全性？

内容导读

内容图文

内容总结

内容备注

内容手机端

【php – 如何增强网站的安全性？】教程文章相关的互联网学习教程文章

PHP做APP接口时，如何保证接口的安全性？

PHP安全性考虑

PHP安全性漫谈分享

php语言网站如何加强安全性【图】

php接口怎么保证安全性【图】

开发中php安全性考虑哪些【图】

php为何安全性差【图】

java和php的安全性对比【图】

excel宏安全性PHP编程安全性小结

PHP中的密码安全性PasswordHashing详解

php中codeigniter安全性注意事项图文详解

如何使用PHP将URL地址参数进行加密传输提高网站安全性

常见的PHP安全性攻击及解决办法

如何提高cookie的安全性

如何制作安全性高的php网站，制作网站需要注意的安全问题总结

PHP - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程