????? 減少網站安全漏洞5個PHP技術
對于初學者來說,了解網站的安全性通常很困難。它實際上是一個網站安全的比率。網站的安全性沒有黑白分明; 總是有灰色區域。在PHP上開發的網站的安全性取決于開發人員的技能。?
根據2014年發表在“國際計算機網絡及其安全進展”雜志上的一項研究,幾乎90%的網站都容易受到黑客攻擊。?
在過去網站建設中,大多數網站都是針對網站不安全的編碼而被黑客入侵的。常見的攻擊是針對SQL注入,緩沖區溢出,XXS和遠程文件包含。這是大多數企業家希望他們的網站在PHP上開發的原因之一。?
網站安全漏洞的5種技術
為了避免黑客對PHP開發的網站的常見攻擊,這里有一些最簡單的技術可以讓網絡成為所有人的安全地點。
1.Restrict外部訪問
限制外部訪問的第一步是分別管理配置文件,數據文件和腳本頁面。可以在httpd.conf文件中的Apache服務器中使用以下腳本。??
2.選擇“更正表單提交代碼”
GET和POST是PHP編碼中最常用的表單提交技術。GET方法默認設置為設置。如果您使用GET表單提交方法,黑客可以輕松地干擾和操縱URL中公開的查詢字符串部分。強烈建議GET表單提交方法應該用于不太重要的網頁,而不僅僅是敏感信息。否則,開發人員應選擇HTTP POST表單提交方法以改進網站安全性。
3.配置PHP.ini
通過配置php.ini文件來防止最常見的黑客攻擊。PHP.ini用于注冊Cookie,Server,GET和POST,可以在全局變量的幫助下進行操作。用于保護php.ini文件的不同方法在這里。
-隱藏配置文件并限制對它們的訪問。
-通過重新調整報告到E All |的錯誤來仔細檢查未初始化的全局變量 E STRICT或E ALL。
-在配置中啟用safe_mode并在服務器目錄中打開base-dir限制。
-在php.ini中,將allow_url_fopen設置為0以禁用它。
4.安全輸入編程數據
輸入驗證安全性是防御注入攻擊和緩沖區溢出攻擊的技術。編程數據的正確語法,長度和時間用于仔細檢查首次使用和數字驗證字符串內容。 以下腳本有助于防止直接輸入語句。
?If(!ctype_alnum($_GET[‘login’])) {echo ‘’Only A-Za-z0-9 are allowed.’’;}
?If(!ctype_alpha($_GET[‘captcha’])) {echo ‘’Only A-Za-z are allowed.’’;}
$If(!ctype_xdigit($_GET[‘color’])) {echo ‘’Only hexadecimal values are allowed.’’;}?
類型轉換變量也用于PHP的Casting技術,以保護來自不受控制的外部源的輸入數據編程。
5.防止錯誤泄露
崩潰,錯誤或任何相關事件可能會泄露不必要的信息,并且如前所述,黑客可以將其翻譯或欺騙到敏感信息泄露中。默認情況下,PHP會發送有關錯誤的信息,以便最終用戶可以立即開發糾正響應。如果出現錯誤或崩潰,也可能向惡意用戶顯示密碼,未初始化變量和文件路徑等信息。可以使用以下代碼修復日志記錄設置和錯誤功能。? Ini_set("display_errors"),FALSE; Ini_set("log_errors"),TRUE; .
對于受限制的控制面板,請使用唯一名稱而不是明顯的名稱 此外,在以下代碼的幫助下禁止目錄列表。
用于禁用PHP標識頭
‘expose_php=off’
用于禁用Apache標識頭
‘ServerSignature=Off’
借助上述代碼,您可以輕松保護PHP開發的網站和網頁。黑客攻擊不僅會泄露敏感信息,還會導致系統損壞,泄露機密文件,導致服務丟失并破壞您的業務聲譽。
