回覆列表
-
1 # 佛系創業碼農
-
2 # 新生活達人
方法有很多,網上的參考例子也比較多,建議從以下幾個方面進行:
一、使用好的php框架
例如目前流行的thinkphp等框架等,已經考慮了這些方面問題,直接應用肯定會比自己寫的程式碼防注入性要強一些,畢竟每個人的水平參差不齊,總有遺漏的地方。
二、每個頁面對輸入的值進行過濾和校驗
這個工作量會比較大,就是驗證一下輸入的值是否符合要求,比如一個數字引數,傳了一些古怪字元進來,都是要過濾的。php裡面也有引數設定對get,post值進行處理,去掉分隔符等。
三、伺服器託管
最好選擇如騰訊雲,阿里雲這些伺服器,相對比自己去其他小機房託管,本身就可以幫阻止一些不必要的攻擊了。
四、伺服器執行許可權
這裡有2個地方:
1、設定使用非root使用者來執行你的php,防止php擁有太多的執行伺服器指令的機會。
2、對於php中,能夠上傳檔案的php程式,以及上傳的檔案,要進行專門驗證,不要讓別人有利用這個入口上傳木馬後臺程式的機會。
五、掃描工具
上傳程式到伺服器以後,可以用例如360的漏洞掃描工具,掃描一下網站,看看有沒有明顯的漏洞。
希望以上思路可以對大家有所參考和幫助!
-------------------------------------------
這個問題感覺對一個多年開發人員來說應該還是比較有資格回答的,畢竟錄製過sql注入以及防禦的課程。
搞明白sql注入
注入攻擊漏洞例如SQL,OS以及LDAP注入。這些攻擊發生在當不可信的資料作為命令或者查詢語句的一部分,被髮送給直譯器的時候。攻擊者傳送的惡意資料可以欺騙直譯器,以執行計劃外的命令或者在未被恰當授權時訪問資料。
然後給大家看看經常會引起sql注入的sql語句
1"or 1=1 #
2"or 1=1 --(空格)
3union all select 1,2,3 #
4username=‘ UNION SELECT 1,version(),3 #(版本)
5username=‘ UNION SELECT 1,user(),3 #(使用者)
然後再給大家介紹一下sql注入的一個工具是sqlmap
最後給大家兩點建議
1 使用預處理語句PDO
2 對引數進行轉義(addslashes/mysql_real_escape_string)
當然了大家如果想具體學習sql的攻擊原理以及,sql的防禦。和sqlmap的使用可以私聊我哦