PHP における一般的な攻撃とセキュリティ上の注意事項:
1. Xss+sql インジェクション:
入力可能な xss を防ぐことができます:
$_REQUEST=filter_xss($_REQUEST);$_GET=filter_xss($_GET);$_POST,$_COOKIE,
SQL インジェクション:
filter_sql();
最も単純な xss 関数は htmlspecialchars です。
最も単純な SQL 関数は mysql_real_escape_string() です。
2、コマンド実行
php コードの実行 (if eval
シェルコマンドの実行 exec
ファイル処理、fopen、fwirte など
3 、脆弱性をアップロードします
最も安全な方法は、ランダムに名前とファイル接尾辞のホワイトリストを指定することです。通常は実行許可を与えません。
4. ファイルには include_once、require()、require_once() などの関数
が含まれており、down.php?file= などのファイルのダウンロードにもいくつかの脆弱性があります。 /../ ../..etc/passwd、サーバー構成ファイルを直接ダウンロードします。
5. 権限のバイパス
a. バックグラウンド ファイルへの不正アクセス、最も一般的なのはセッション確認コード
b. ユーザー分離の場合: mail.php?id=23 は自分のメールを表示し、id=24 は他の人のメールを表示できます。
6. 情報漏洩
ファイル パスの漏洩、ソース コードの漏洩など、この種の脆弱性は比較的低いものです。
通常、エラー プロンプト error_reporting(0); をオフにし、パブリック設定ファイルの下に置きます。
もちろん、Cookie の偽造やクロスドメインなど、非常に多くの脆弱性があります。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
