初涉web安全

最近看了些web安全方面的文章,略有心得,写这篇文章来整理下思路,如有错误,恳请斧正

SQL注入

原理:在web表单中输入恶意sql语句

防御:对用户输入的进行处理,永远不要相信前端js对表单的验证,js是可以禁用的

主要方法:

使用框架自带方法(此类方法较为简便,因为大部分框架都为你做好了处理) 比如常用的tp框架可以使用数组查询条件,字符串查询预处理机制

使用PDO或mysqli预处理(此类方法较为繁琐,但是有些框架没有做安全处理或做的不好) 以下是PDO的示例(mysqli本人也没试过,只是听说可以(逃~)

$dbh = new PDO("mysql:dbname=test; host=127.0.0.1;charset=utf8", "user", "pass");//连接数据库,并设置本地PDO驱动编码格式

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用模拟预处理(非常重要)

$dbh->exec("set names 'utf8'"); //设定mysql服务器编码格式

$sql="select * from test where name = ? and password = ?";//设定预处理语句

$stmt = $dbh->prepare($sql);//执行预处理

$stmt->bindParam(1, $id,\PDO::PARAM_INT);//绑定参数

$exeres = $stmt->execute(); //执行

$result = $stmt->fetchAll(); //得到结果集

echo json_encode($result);//输出

$dbh = null;//取消连接

XSS攻击

原理:在web表单中输入恶意js脚本

防御:对用户输入的进行处理,过滤特殊字符

主要方法:

使用框架自带方法 比如说tp框架:I('get.xxx')

使用PHP过滤函数 htmlspecialchars()转化html字符 htmlentities() 转化html字符 (5.6之后无区别) intval()获取变量的整数值 strip_tags 从字符串中去除 HTML 和 PHP 标记

添加收藏