php数据库网络安全 php 网络安全
自己新建PHP页面,求PHP页面安全代码,防止别人直接打开,因为里面有数据库信息,
PHP页面中的代码别人本来就打不开,在网络上调用PHP页面只能得到这个页面的运行结果,无法获取到页面中代码。(除非这个这个页面是在客户端的,你交到别人手上他才能知道里面的数据)
创新互联公司自2013年起,是专业互联网技术服务公司,拥有项目成都网站设计、成都网站建设、外贸网站建设网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元五大连池做网站,已为上家服务,为五大连池各地企业和个人服务,联系电话:13518219792
至于你自己网站的html页面,可以通过ajax调用该php执行脚本,在php中通过session信息对调用者身份进行识别,要进一步提高安全性,就对session信息加密。
PHP由于不能像JAVA那样编译野森,所以放在客户端的代码永远不可能是安全的(对php代码的加密没有一个是可靠的),但是在服务端,它是足够安全的含厅,除了你在服务器上的本地程序本身,其他人不可能拿到里面的代颂老亩码数据,真正的泄露是发生在网络传输环节,或者你的服务器被攻破了。
如何防范PHP网站的网络安全,寻高手接招!!
其实原则就那么几个,主要就是不要相信任何来自客户端的信息,什么信息都一样,都是不可信得,使用这些信息前都要经过过滤和验证。
其次就是当你要打开本站文件时,最好先判断该文件是否存在。正御否则别人可能会利用此功能打开远端文件,来窃取你的网站信息。
还有就是如果服务器允许就尽量用SESSION吧,别用COOKIE,不关紧要的信息保存到COOKIE里也要加密哦衫衫。用MCrypt加密还比较不错了。
然后就是网站出错时的处理,使用set_error_handle函数来或清腔自定义错误处理机制比较好,额。。。好像是叫这个名字吧~ ~
最后,就是网站里的文件名什么尽量取的有点个性,让别人不容易猜到,否则。。。
I am a new comer。但是我很注意安全问题
php写的网站是不是不太安全
程序没有安全不安全,只有写程序的人有没有安全意识仔仔。
中国80%的电子商务网站使用纯PHP。查一下ecshop就知道了。
BAT的网站,用户交互部念厅汪分全是PHP。伏野足以说明问题。
ThinkPHP开发框架曝安全漏洞,超过4.5万家中文网站受影响
据外媒ZDNet报道,近期有超过4.5万家中文网站被发现容易遭到来自黑客的攻击,而导致这一安全风险出现的根源仅仅是因为一个ThinkPHP漏洞。
报道称,有多家网络安全公司在近期都发现了针对运行着基于ThinkPHP的Web应用程序的服务器的扫描活动。ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持Windows/Unix/Linux等服务器环境,以及MySql、PgSQL、Sqlite多种数据库和PDO插件,在国内 Web 开发领域非常受欢迎。
另外,所有这些扫描活动都是在网络安全公司VulnSpy将一个ThinkPHP漏洞的概念验证代码(PoC)发布到ExploitDB网站上之后开始进行的。这里需要说明的是,ExploitDB是一家提供免费托管漏洞利用代码的热门网站。
VulnSpy公司发布的概念验证代码利用了一个存在于ThinkPHP开发框架invokeFunction 函数中的漏洞,以在底层服务器上执行任意代码。值得注意的是,这个漏洞可以被远程利用,且允许攻击者获得对服务器的完全控制权限。
“PoC是在12月11日发布的,我们在不到24小时之后就看到了相关的互联网扫描。” 网络安全公司Bad Packets LLC的联合创始人Troy Mursch告诉ZDNet。
随后,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也报道了类似的扫描。并且,这些扫描在接孝侍下来的几天里一直呈上升趋势。
与此同时,开始利用这个ThinkPHP 漏洞来开展攻击活动的黑客组织也在不断增加。到目前为止,被确认的黑客组织至少包括:最初利用该漏洞的攻击者、一个被安全专家命名为“D3c3mb3r”的黑客组织、以及另一个利用该漏洞传播Miori IoT恶意软件的黑客组织。
由Trend Micro检测到的最后一组数据还表明,旨在传播Miori IoT恶意软件的黑客组织似乎想要利用该漏洞来入侵家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。
此外,从NewSky Security检测到另一组扫描来看,攻击者试图在运行着基于ThinkPHP的Web应用程序的服务器上运行Microsoft Powershell命令。NewSky Security的首席安全研究员Ankit Anubhav告诉ZDNet,“这些Powershell命令看上去有些多余。实际上,攻击者拥有的一些代码完全可以用来检查操作系统的类型,并为不同的Linux服务器运行不同的漏洞利用代码,运行Powershell命令可能只是为了碰碰运气。”
事实上,最大规模扫描的发起者应该是上述被被安全专家命名为“D3c3mb3r”的黑客组织。但这个组织并没有做任何特别的事情。他们没有使用加密货币矿工或其他任何恶意软件来感染服务器。他们只是扫描易受攻击的服务器,然后运行一个基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告诉ZDNet:“我不确定他们的动机。”
根据Shodan搜索引擎的统计,目前有超过45800台运行着基于ThinkPHP的Web应用程序的服务器可在线访问。其中,有超过40000台托管在中国IP地址上。这主要是由于ThinkPHP的文档仅提供了中文版本,因此不太可能在国外被使用。这也是解释了为什么被认为易遭到攻击的网站大部分都是中文网站。
安全专家认为,随着越来越多的黑客组织了解到这种入侵 Web 服务器的方法,对中文网站的攻击也必然会有所增加。
此外,F5 Labs已经公布了有关这个ThinkPHP 漏洞的技术分析和POC的工作原理,大家可以通过点击这毁郑里进行查看。
本文由 黑客视界 综合网络整理,图片源自网络巧余吵;转载请注明“转自黑客视界”,并附上链接。
当前名称:php数据库网络安全 php 网络安全
转载来于:http://azwzsj.com/article/ddpegdo.html