便宜VPS网PHP如何做好最基础的安全防范
1、开发环境和生产环境隔开,不要再生产上面开debug、及时更新使用框架漏洞补丁如PHP国内常用tp系列以前偶尔爆出漏洞(我用的较多就是tp..),还有框架不要用最新要选择最稳定的。
2、用Suhosin加强PHP脚本语言安全性PHP是一种非常流行的网站脚本语言,但是它本身所固有的安全性是非常薄弱。PHP增强计划(Hardened-PHP project)和新的Suhosi计划,Suhosin提供了增强的PHP的安全配置。
3、文件上传,检查是否做好效验,要注意上传文件存储目录权限。防御SQL注入。
4、Web服务器安全 PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。
5、除此之外,我们还可以在PHP代码中判断输入值的长度,或者专门用一个函数来检查输入的值。所以在接受用户输入值的地方一定要做好输入内容的过滤和检查。当然学习和了解最新的SQL注入方式也非常重要,这样才能做到有目的的防范。
11种php编程典型安全隐患及处理
加密key和种子的长度,使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取如果数据和key都被盗取,那么攻击者可以遍历ciphers寻找开行的方式即可,因此我们需要将加密的key进行MD5一次后保证安全性。
而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
CGI和Script编程语言的问题 在几种国内常见的WEB编程语言中,ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。
PHP是弱类型语言,有可能存在安全隐患。PHP还有其他安全隐患,例如:SQL注入,Session攻击,代码泄露等。PHP社区延迟发布其新版本。
ThinkPHP开发框架曝安全漏洞,超过4.5万家中文网站受影响
1、据外媒ZDNet报道,近期有超过5万家中文网站被发现容易遭到来自黑客的攻击,而导致这一安全风险出现的根源仅仅是因为一个ThinkPHP漏洞。
2、可是貌似大多数开发者和使用者并没有注意到此漏洞的危害性,应者了了,更不用说有多少人去升级了。随后我对其进行了分析,发现此问题果然是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码。
3、Symfony symfony是一个非常稳定的PHP框架,适合大型或复杂的企业级项目。Symfony由一组PHP组件、一个应用程序框架、一个社区和一种哲学组成,所有这些组件协同工作,帮助实现web上的一个共同目标。
4、PHP安全:PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。常见的web安全漏洞有:注入攻击,跨站攻击,服务器自身漏洞等。
5、ThinkPHP国人开发维护,优点是中文文档完善,社区活跃;缺点是高频单字母函数让人不知所云,代码并不优雅。适合于国人快速开发一些Web系统。个人感觉缺少ORM。
6、php中也存在框架,如国内比较常用的thinkphp、brophp。国外的Laravel。但使用其也用利弊,分析如下:框架是非常好的,它能让决定更连贯。
