php に対する一般的な攻撃は次のとおりです:
SQL インジェクションは、ユーザーがフォーム フィールドに SQL ステートメントを入力して、通常の SQL 実行に影響を与える悪意のある攻撃です。 system() または exec() コマンドを通じて注入されるものもあり、これは同じ SQL インジェクション メカニズムを持ちますが、シェル コマンドのみを対象とします。 (推奨学習:
XSS (クロスサイト スクリプティング攻撃) は、 by ユーザーは、クライアント側スクリプト (通常は JavaScript) を含むデータを Web サイトに入力します。フィルタリングせずに別の Web ページにデータを出力すると、このスクリプトが実行されます。ユーザーが送信したテキスト コンテンツを受信します。
PHPSESSID が推測しにくいことを前提としたセッション セキュリティ。ただし、PHP は Cookie または URL を介してセッション ID を受け入れることができます。したがって、被害者のなりすましには、特定の (またはその他の) セッション ID やフィッシング攻撃が使用される可能性があります。
これはセッションの固定と同じ考え方ですが、セッション ID を盗む必要があります。セッション ID が Cookie に保存されている場合、XSS および JavaScript を介して攻撃者によって盗まれる可能性があります。 URL にセッション ID が含まれている場合は、スニッフィングまたはプロキシ サーバーからセッション ID を取得することもできます。
#セッションのキャプチャとハイジャックを防止します:
#*ID を更新します#*セッションを使用している場合は、ユーザーが SSL を使用していることを確認してください
クロスサイト リクエスト フォージェリ (CSRF)
CSRF 攻撃とは、ページが Web サイトの信頼されたユーザーのように見えるが、意図的ではないリクエストを行うことです。
コードインジェクション
コードインジェクションは、無効なデータを処理することによってコンピューターの脆弱性を悪用することによって発生します。問題は、通常はファイルのインクルードを介して、誤って任意のコードを実行したときに発生します。コードの書き方が不十分だと、リモート ファイルが組み込まれて実行される可能性があります。
以上がPHP におけるいくつかの一般的な攻撃の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
