php防攻击方法

php防攻击方法

更多答案 请参考 @如何有效防止XSS攻击/AJAX跨域攻击

我说下防止非法用户的一些常用手段吧

1 前端的js验证: 我认为js验证只是一种用户体验的提升,对普通用户群体的简单限制,所以后台必须要有相应的验证。。

2表单中的隐藏域 : 相信大家都遇到过这样的问题,如: 用户从 A 页面 点如 B 页面,B页面是个表单,这个表单中有个隐藏域,用来记录从A页面带来的数据(像id等),用户提交时 在后台修改,新增数据都是依赖这个隐藏域的值,如果这里不做好验证的话,很可能被用户修改隐藏域的值,从而导致垃圾数据。。 我见过一个商城,竟然用隐藏域记录订单信息,用firebug修改价钱后发现下订单的金额竟然是我修改的,好久没关注,不知道对这个问题修改了没有。。

对于以上问题,我一般的做法是 A 页面到B页面时 生成一个 值:

  1. [Math Processing Error]数据 .date(‘Ymdh‘)); //$数据 为要在B页面隐藏域的值

然后 在将这个生成的 key 也放入 B页面表单的 隐藏域中。
数据提交后, 用相同的加密顺序去加密在判断 如:

  1. MD5(‘FORMKEY‘ . [Math Processing Error]_POST[‘key‘]

我现在一般用这种方式,不知道大家还有没有更好的方式,请分享。。。。。。。

3 ajax :一般ajax请求后台验证比较少,还有最好限制 ajax请求的地址 不能通过浏览器直接访问,不要认为 ajax 请求方式为 post 就 比较安全。

一般我限制的方法为:

  1. isset([Math Processing Error]_SERVER[‘HTTP_X_REQUESTED_WITH‘] == ‘XMLHttpRequest‘

当然 X_REQUESTED_WITH 也可以伪造,至少多增加了一点验证。

首先分享一个以前用过的一个过滤:

  1. function check_str([Math Processing Error]isurl = false)
  2. {
  3. [Math Processing Error]string);
  4. [Math Processing Error]string);
  5. empty([Math Processing Error]string = preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",‘&‘,$string);
  6. [Math Processing Error]string);
  7. [Math Processing Error]string);
  8. [Math Processing Error]string);
  9. return trim($string);
  10. }

下面截自:http://www.cnblogs.com/my37gs/archive/2011/12/07/2278697.html
1、 验证用户输入的任何数据,保证PHP代码的安全
这里有一个技巧就是使用白名单,所谓白名单就是说:我们要求用户的数据应该是这样的,例如我们要求用户的输入是一个数字,我们就只检验这个值是否是一个数字就行了,而不必检验他到底是什么——其实他有可能是个恶意脚本。

对于这个检验我们不能只在客户端的javascript进行,战地认为JS只是为了提高来访用户的体验而产生的,而不是验证的工具。因为任何一个来 访的用户都可能会,也有可能无意间就禁用了客户端脚本的执行,从而跳过这层验证。所以我们必须在PHP的服务器端程序上检验这些数据。

2、 保护数据库的安全——对即将运行于数据库的Sql语句进行安全性预处理。
任何时候都要对执行前的Mysql语句,进行mysql_real_escape_string操作——该函数的用法请参考PHP手册。诸多PHP的数据库抽象层例如ADODB都提供了类似的方法。

3、 不要依赖不该依赖的PHP设置——环境有时候不可靠
不依赖,magic_quotes_gpc=On,在程序编制的过程,尽量关闭这个配置选项,任何时候判断这个选项后再对用户输入的数据进行处理。切记——PHP v6 中将会删除这个选项。尽量在合适的时候使用addcslashes 系列函数——请参考手册

4、 验证数据来源,避免远程表单提交
不要使用$_SERVER[‘HTTP_REFERER‘]这个超级变量来检查数据的来源地址,一个很小的菜鸟黑客都会利用工具来伪造这个变量的数据,尽可能利用Md5,或者rand等函数来产生一个令牌,验证来源的时候,验证这个令牌是否匹配。

5、 保护会话数据,特别是Cookies
Cookie是保存在用户的计算机上的,保存之后任何用户都有可能出于某种原因更改他,我们必须对敏感数据进行加密处理。Md5、sha1都是个的加密方法。

6、 利用htmlentities()预防XSS攻击
对用户可能输入脚本语言的地方的数据进行htmlentities()操,将多数可以产生程序错误的用户输入进行实体化。记住要遵循第一个习惯:在 Web 应用程序的名称、电子邮件地址、电话号码和帐单信息的输入中用白名单中的值验证输入数据。

PHP方面:
(1)htmlspecialchars:参数一是要转换的字符串,参数二是设置是否要转换单引号,双引号之类的,参数三是字符串编码设置。
本函数将特殊字符转成 HTML 的字符串格式 ( &....; )。最常用到的场合可能就是处理客户留言的留言版了。
& (和) 转成 & 
" (双引号) 转成 " 
< (小于) 转成 &lt; 
> (大于) 转成 &gt; 
此函数只转换上面的特殊字符,并不会全部转换成 HTML 所定的 ASCII 转换。
(2)htmlentities:会将所有 string 的字符都转成 HTML 的特殊字集字符串。
(3)strip_tags:去掉 HTML 及 PHP 的标记。
(4)sql语句还要再加个mysql_real_escape_string();

php Filter 函数

时间: 2024-10-12 15:21:52

php防攻击方法的相关文章

iptables 防DDOS攻击方法

syn flood攻击:SYN Flood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式(TCP协议的缺陷,所以没办法根除,除非重做TCP协议,目前不可能). CC攻击(Challenge Collapsar):CC是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡(被黑客黑的电脑)向受害主机不停地发大

实体类,数据访问类.字符串攻击.防攻击

程序分三层:界面层.业务逻辑层.数据访问层 这里主要操作的是数据访问层,数据访问层又分为: 1.实体类 2.数据访问类 存放位置:APP_Code文件中 一.实体类 最简单的封装把数据库的表名变成类的类名把数据库的每一个列,变为实体类中的成员变量和属性列名与属性名一致 有几行就有几个实体类 这是一个简单的实体类: using System; using System.Collections.Generic; using System.Linq; using System.Text; namesp

使用ret2libc攻击方法绕过数据执行保护

前面介绍的攻击方法大量使用Shellcode,核心思想是修改EIP和注入Shellcode,在函数返回时跳到Shellcode去执行.要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷. 数据执行保护机制 DEP述语是微软公司提出来的,在window XP操作系统开始支持该安全特性.DEP特性需要硬件页表机制来提供支持. X86 32位架构页表上没有NX(不可执行)位,只有X8

字符串攻击、防攻击、实体类、数据访问类

字符串攻击: 主要利用获取需用户输入的字符串时,通过输入精心编制的含有某种指令的字符串,从而对数据库进行攻击性操作. 防攻击: 例 cmd.CommandText = "update Users set [email protected],[email protected],[email protected],[email protected],[email protected],[email protected] where [email protected]"; cmd.Param

2017-4-20实体类,数据访问类.字符串攻击.防攻击

程序分三层:界面层.业务逻辑层.数据访问层 这里主要操作的是数据访问层,数据访问层又分为: 1.实体类 2.数据访问类 存放位置:APP_Code文件中 一.实体类 最简单的封装把数据库的表名变成类的类名把数据库的每一个列,变为实体类中的成员变量和属性列名与属性名一致 有几行就有几个实体类 这是一个简单的实体类:  实体类 二.数据访问类 将某个表的数据库操作写成一个一个方法,放入到此类中供外部调用 这是一个数据访问类:  数据访问类 三.字符串攻击,防攻击 字符串攻击: 主要利用获取需用户输入

什么是黑客认为回报率最高的攻击方法

"黑客们之所以越来越愿意投入更多时间和精力去对各种设备进行攻击,那是因为他们通过攻击获得的利益越来越大."新思科技(Synopsys)产品市场经理Rich Collins说,目前,物联网在网络.设备和芯片这三个层面都会遭受攻击,攻击手段大致可分为网络攻击(窃取敏感数据).软件攻击(植入恶意软件)和硬件攻击(利用Debug或者侧信道方式进行非侵入式攻击等)三种类型. 以针对一颗SoC芯片的恶性攻击为例,攻击方式就包括IP窃取(在未经授权的情况下,对内存进行访问或物理分析);故障注入(故意

PHP禁止同一IP频繁访问以防止网站被防攻击或采集的代码

<?php /* *通过禁止IP频繁访问防止网站被防攻击代码*design by www.scutephp.com*/header('Content-type: text/html; charset=utf-8');$ip=$_SERVER['REMOTE_ADDR'];//获取当前访问者的ip$logFilePath='./log/';//日志记录文件保存目录$fileht='.htaccess2';//被禁止的ip记录文件$allowtime=60;//防刷新时间$allownum=5;//

网狐游戏平台开发,防攻击方案定做。

了解防攻击方案具体可联系Q939886985. 我们的防攻击优势,一般每月5万元服务器费就可以足够顶单台20万每月的服务器.市面上真正单防200G防御服务器,至少是每月20万元.也有叫几万的,如果你相信有200G,那我也没有办法,多个成功大平台的运营者告诉我们,防攻击方案是最有效的,也是最节约的资金的. 多年的开发经验,维护经验,让你免受运营的烦恼.

linux 防爆破方法

利用pam 认证模块锁定多次登陆失败的用户 pam 模块存放在  /lib/security/pam_*****.so 编辑 /etc/pam.d/sshd 添加以下内容 auth  required pam_tally2.so deny=5 lock_time=60 当用户通过ssh 尝试登陆系统密码输错5次,系统就锁定该账户60S 验证: 手动解除锁定命令  pam_tally2 --reset -u 用户 linux 防爆破方法,布布扣,bubuko.com