#PHP
PHP安全-会话数据暴露
会话数据暴露 会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境…
#PHP
PHP安全-Cookie 盗窃
Cookie 盗窃 因使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露就是一个严…
#PHP
PHP安全-远程文件风险
远程文件风险 PHP有一个配置选项叫allow_url_fopen,该选项默认是有效的。它允许你指向许多类型的资源,并像本地文件一样处理。例如,通过读取URL你可以取…
#PHP
PHP安全-文件系统跨越
文件系统跨越 无论你用什么方法使用文件,你都要在某个地方指定文件名。在很多情况下,文件名会作为fopen()函数的一个参数,同时其它函数会调用它返回的句柄…
#PHP
PHP安全-代码注入
代码注入 一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时: <?php include ̶…
#PHP
PHP安全-文件名操纵
文件名操纵 在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。 &n…
#PHP
PHP安全-后门URL
后门URL 后门URL是指虽然无需直接调用的资源能直接通过URL访问。例如,下面WEB应用可能向登入用户显示敏感信息: <?php …
#PHP
PHP安全-源码暴露
源码暴露 关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况: l 对包含…
#PHP
PHP安全-会话劫持
会话劫持 最常见的针对会话的攻击手段是会话劫持。它是所有攻击者可以用来访问其它人的会话的手段的总称。所有这些手段的第一步都是取得一个合法的会话标识来伪装成合法用户,因…
#PHP
PHP安全-数据的暴露
数据的暴露 关于数据库,另外需要关心的一点是敏感数据的暴露。不管你是否保存了信用卡号,社会保险号,或其它数据,你还是希望确认数据库是安全的。 虽然数据库…
#PHP
PHP安全-访问权限暴露
访问权限暴露 数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如: CODE: &…
#PHP
PHP安全-HTTP请求欺骗
HTTP请求欺骗 一个比欺骗表单更高级和复杂的攻击方式是HTTP请求欺骗。这给了攻击者完全的控制权与灵活性,它进一步证明了不能盲目信任用户提交的任何数据。…
-
如遇问题,请联系客服联系客服请注明来意 高端主题开发
