關(guān)于PHP的網(wǎng)站設(shè)計論文

時間:2022-09-05 05:38:01

導(dǎo)語:關(guān)于PHP的網(wǎng)站設(shè)計論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

關(guān)于PHP的網(wǎng)站設(shè)計論文

1php網(wǎng)站編碼過程中存在的問題

1.1防范sql的注入

一般來說,網(wǎng)站設(shè)計的程序員在進行編寫代碼使需要對用戶輸入數(shù)據(jù)的合法性進行判斷,防止信息輕易被泄露,但是如果程序員在網(wǎng)站設(shè)計時沒有進行這項操作的話,用戶就可以通過提交數(shù)據(jù)庫查詢代碼的方式。根據(jù)程序返回的結(jié)果獲得用戶想知道的數(shù)據(jù)信息資料,這就是所謂的sql注入。Spl的注入很容易就可以使信息被泄露,因此,網(wǎng)站的程序員一定要對用于輸入的數(shù)據(jù)進行合法性判斷,對信息安全進行防御保護。

1.2or1=1以及union語句的注入

‘or1=1’注入是指在登錄某系統(tǒng)時可以繞過密碼驗證,利用任意用戶名登入系統(tǒng)內(nèi)的侵入方式,它是網(wǎng)絡(luò)應(yīng)用中非常經(jīng)典的注入語句。這種注入方式是利用程序員在編寫驗證程序的時候,沒有驗證用戶的輸入是否含有非預(yù)期的字符串,直接傳遞給計算機函數(shù)執(zhí)行用戶的操作請求,這種語句注入方式可以讓密碼匹配與否變得不再重要,而是直接繞過密碼驗證進入系統(tǒng),輕易地獲取用戶資料與信息。與or1=1注入語句不同的是,union可以通過該語句的特殊性讓程序原本默認(rèn)的語句出錯,通過讓程序執(zhí)行union之后自己構(gòu)造的sql語句來達到語句注入的目的,并直接侵入程序內(nèi)部。

1.3xss跨站攻擊

xss是一種常見的網(wǎng)站攻擊的手段。xss的工作原理與sql注入相差不大,只是xss是通過將javascript腳本注入到html標(biāo)簽中的方式,刻意的將惡意內(nèi)容輸入到網(wǎng)頁輸入框內(nèi),當(dāng)這些惡意的輸入內(nèi)容重新讀回到網(wǎng)站客戶端時,瀏覽器會自動解釋并執(zhí)行這些惡意的腳本內(nèi)容,通過影響網(wǎng)頁的正常顯示從而達到腳本片段注入的目的。

1.3.1xss探測

在判斷一個網(wǎng)站是否存在xss漏洞是,通常需要輸入探測語句進行網(wǎng)站漏洞監(jiān)檢測,首先要輸入檢測語句,然后找到該語句執(zhí)行的地方,如果該地方有彈出窗口就意味著這個網(wǎng)站存在xss漏洞。如果確定該網(wǎng)站存在信息安全漏洞,黑客就會有很多種攻擊手法侵入計算機網(wǎng)絡(luò)內(nèi)部,他們可以通過將當(dāng)前的網(wǎng)頁重定向到其他的網(wǎng)頁中去的方式達到刷網(wǎng)站流量的目的,除此之外,黑客還可以通過在專享網(wǎng)站上掛上木馬程序的手段,給網(wǎng)站種下病毒,一旦有不知情的用戶進入該網(wǎng)站,他們的電腦就會自動感染上木馬病毒。

1.3.2xss的利用

XSS是在web應(yīng)用中經(jīng)常出現(xiàn)的計算機安全漏洞,它通過將代碼植入網(wǎng)頁的方式利用XSS漏洞控制計算機。這種類型的安全漏洞也常常被黑客利用來編寫惡意的程序。我們在有些網(wǎng)站進行瀏覽的時候,經(jīng)常會出現(xiàn)有廣告彈出的現(xiàn)象,黑客可以利用xss攻擊頁面,使那些正在瀏覽該網(wǎng)站信息的計算機用戶自動彈出窗口,并且利用這種彈窗在頁面掛上木馬病毒,讓網(wǎng)頁用戶無辜感染木馬病毒,以此來獲得用戶信息。1.3.3利用‘iframe’標(biāo)簽進行xss攻擊iframe的主要功能是在網(wǎng)頁中嵌入其他網(wǎng)頁是一個很常用的html標(biāo)簽,它可以通過height屬性和src指定所嵌頁面的具體信息??梢詫㈨撁娴刂吩O(shè)置為被掛馬的網(wǎng)頁進行cookie數(shù)據(jù)的竊取。

2安全防御常用方法

2.1安全措施對用戶透明

進行網(wǎng)站的信息安全保護時要盡量做到安全措施對用戶透明,讓用戶很難清除安全保護措施的應(yīng)用。如果這種方法難以操作可以采用較為常見的信息安全防御措施。最直接的方式就是在用戶訪問受控信息或服務(wù)之前,讓他們輸入用戶名和密碼,這也是一種比較好的常用的信息安全保護措施。

2.2對數(shù)據(jù)進行隨時跟蹤

任何一個有責(zé)任意識的網(wǎng)絡(luò)程序開發(fā)者,都會對數(shù)據(jù)進行隨時的跟蹤。通過對數(shù)據(jù)信息的動向進行跟蹤觀測防止出現(xiàn)信息安全問題。數(shù)據(jù)信息的時時跟蹤其實是一種比較有難度的信息監(jiān)測手段,特別是一些開發(fā)者對該運用原理不夠了解的情況下,進行尤其是當(dāng)你對web的運做原理沒有進行深入理解時。一些開發(fā)者雖然對網(wǎng)站的開發(fā)環(huán)境很有經(jīng)驗,但是對web不是很有經(jīng)驗的時候,就會在程序開發(fā)中犯錯并制造安全漏洞。

2.3對輸入信息進行過濾

對輸入的信息進行過濾的方法是保證網(wǎng)絡(luò)信息安全的重要條件,也是驗證輸入的數(shù)據(jù)合法性的過程。通過對用戶輸入信息的確認(rèn)對數(shù)據(jù)進行過濾。這種信息過濾的方式可以避免一些病毒在未知的情況下被誤用。目前大多數(shù)常用的php應(yīng)用都存在缺少數(shù)據(jù)過濾引起信息安全漏洞。

2.4如何防止sql的注入

雖然網(wǎng)絡(luò)系統(tǒng)的注入的手段很豐富,但這些注入方式都有一個共同點,就是它們都是利用程序沒有信息過濾這一弱點。因此,如果要防止非法注入,也就需要對查詢語句進行過濾,一般來說,計算機程序的函數(shù)是通過正則表達式進行常用語句匹配并對這些語句進行過濾。因此,只要采用了過濾之后的函數(shù),利用注入的方式侵入系統(tǒng)的話都會是失敗的。

3結(jié)束語

本文通過對網(wǎng)站設(shè)計中常見的幾種信息安全漏洞進行分析,并提出了幾種解決這些安全漏洞的防御措施,在一定程度上有利于信息的維護。

作者:王堯單位:江蘇理工學(xué)院計算機工程學(xué)院