常見PHP網站安全漏洞
對于PHP的漏洞�����,目前常見的漏洞有五種�。分別是Session文件漏洞�、SQL注入漏洞�、腳本命令執行漏洞�����、全局變量漏洞和文件漏洞�����。這里分別對這些漏洞進行簡要的介紹�。
session文件漏洞
Session攻擊是黑客最常用到的攻擊手段之一����。當一個用戶訪問某一個網站時�,為了免客戶每進人一個頁面都要輸人賬號和密碼�,PHP設置了Session和Cookie用于方便用戶的使用和訪向����。
對于Session漏洞的防范
從前面的分析可以知道��,Session攻擊最常見的就是會話劫持����,也就是黑客通過各種攻擊手段獲取用戶的Session ID��,然后利用被攻擊用戶的身份來登錄相應網站��。
為此���,這里可以用以下幾種方法進行防范:
一是定期更換Session ID�,更換Session ID可以用PHP自帶函數來實現;
二是更換Session名稱��,通常情況下Session的默認名稱是PHPSESSID���,這個變量一般是在cookie 中保存的��,如果更改了它的名稱���,就可以阻檔黑客的部分攻擊;
三是對透明化的Session ID進行關閉處理����,所謂透明化也就是指在http請求沒有使用cookies來制定Session id時����,Sessioin id使用鏈接來傳遞.關閉透明化Session ID可以通過操作PHP.ini文件來實現;四是通過URL傳遞隱藏參數�����,這樣可以確保即使黑客獲取了session數據����,但是由于相關參數是隱藏的����,它 也很難獲得Session ID變量值�����。
原文鏈接:https://segmentfault.com/a/1190000009077118?utm_source=sf-similar-article
網站制作報價:
