减少网站安全漏洞5个php技术
对于初学者来说,了解网站的安全性通常很困难。它实际上是一个网站安全的比率。网站的安全性没有黑白分明; 总是有灰色区域。在php上开发的网站的安全性取决于开发人员的技能。?
根据2014年发表在“国际计算机网络及其安全进展”杂志上的一项研究,几乎90%的网站都容易受到黑客攻击。?
在过去网站建设中,大多数网站都是针对网站不安全的编码而被黑客入侵的。常见的攻击是针对sql注入,缓冲区溢出,xxs和远程文件包含。这是大多数企业家希望他们的网站在php上开发的原因之一。
网站安全漏洞的5种技术
为了避免黑客对php开发的网站的常见攻击,这里有一些最简单的技术可以让网络成为所有人的安全地点。
1.restrict外部访问
限制外部访问的第一步是分别管理配置文件,数据文件和脚本页面。可以在httpd.conf文件中的apache服务器中使用以下脚本。
? order allow, deny
2.选择“更正表单提交代码”
get和post是php编码中最常用的表单提交技术。get方法默认设置为设置。如果您使用get表单提交方法,黑客可以轻松地干扰和操纵url中公开的查询字符串部分。强烈建议get表单提交方法应该用于不太重要的网页,而不仅仅是敏感信息。否则,开发人员应选择http post表单提交方法以改进网站安全性。
3.配置php.ini
通过配置php.ini文件来防止最常见的黑客攻击。php.ini用于注册cookie,server,get和post,可以在全局变量的帮助下进行操作。用于保护php.ini文件的不同方法在这里。
-隐藏配置文件并限制对它们的访问。
-通过重新调整报告到e all |的错误来仔细检查未初始化的全局变量 e strict或e all。
-在配置中启用safe_mode并在服务器目录中打开base-dir限制。
-在php.ini中,将allow_url_fopen设置为0以禁用它。
4.安全输入编程数据
输入验证安全性是防御注入攻击和缓冲区溢出攻击的技术。编程数据的正确语法,长度和时间用于仔细检查首次使用和数字验证字符串内容。 以下脚本有助于防止直接输入语句。
?if(!ctype_alnum($_get[‘login’])) {echo ‘’only a-za-z0-9 are allowed.’’;}
?if(!ctype_alpha($_get[‘captcha’])) {echo ‘’only a-za-z are allowed.’’;}
$if(!ctype_xdigit($_get[‘color’])) {echo ‘’only hexadecimal values are allowed.’’;}?
类型转换变量也用于php的casting技术,以保护来自不受控制的外部源的输入数据编程。
5.防止错误泄露
崩溃,错误或任何相关事件可能会泄露不必要的信息,并且如前所述,黑客可以将其翻译或欺骗到敏感信息泄露中。默认情况下,php会发送有关错误的信息,以便最终用户可以立即开发纠正响应。如果出现错误或崩溃,也可能向恶意用户显示密码,未初始化变量和文件路径等信息。可以使用以下代码修复日志记录设置和错误功能。? ini_set(display_errors),false; ini_set(log_errors),true; .
对于受限制的控制面板,请使用唯一名称而不是明显的名称 此外,在以下代码的帮助下禁止目录列表。
用于禁用php标识头
‘expose_php=off’
用于禁用apache标识头
‘serversignature=off’
借助上述代码,您可以轻松保护php开发的网站和网页。黑客攻击不仅会泄露敏感信息,还会导致系统损坏,泄露机密文件,导致服务丢失并破坏您的业务声誉。