Veda 原型
成功,唯有积累,没有奇迹
PHP服务器脚本
PHP安全编程:关于表单欺骗提交
欺骗表单攻击是不能防止的
在 2012年05月06日 那天写的
14,908 views
制造一个欺骗表单几乎与假造一个URL一样简单。毕竟,表单的提交只是浏览器发出的一个HTTP请求而已。请求的部分格式取决于表单,某些请求中的数据来自于用户。当表单提交时,浏览器会请求action中指定的URL,同时它使用当前的URL地址来定位相对URL。
PHP服务器脚本
PHP安全编程:跨站请求伪造CSRF的防御
比如可以使用验证码方法
在 2012年05月06日 那天写的
22,263 views
跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上,如果没有对跨站请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。
PHP服务器脚本
PHP安全编程:跨站脚本攻击的防御
htmlentities()转换为HTML实体
在 2012年05月06日 那天写的
25,541 views
跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。
PHP服务器脚本
PHP安全编程:文件上传攻击的防御
加上一层额外的安全保护层
在 2012年05月06日 那天写的
16,303 views
有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data。一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。
PHP服务器脚本
PHP安全编程:从URL的语义进行攻击
以一个Webmail系统为例
在 2012年05月06日 那天写的
15,096 views
好奇心是很多攻击者的主要动机,语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如,如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris, 很自然地他可能会试图改变user的值,看看会发生什么。
PHP服务器脚本
PHP安全编程:表单与数据安全
简单可靠地区分两类数据
在 2012年05月06日 那天写的
16,434 views
在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。所有你自己设定的数据可信数据,可以认为是已过滤数据。一个你自己设定的数据是任何的硬编码数据,例如下面的email地址数据:$email = 'gonn@nowamagic.net';
PHP服务器脚本
PHP安全编程:对输出要进行转义
对特殊字符进行编码
在 2012年05月05日 那天写的
16,104 views
另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。
PHP服务器脚本
PHP安全编程:过滤用户输入
过滤是Web应用安全的基础
在 2012年05月05日 那天写的
23,651 views
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。
PHP服务器脚本
PHP安全编程:可用性与数据跟踪
在风险与可用性之间作出平衡
在 2012年05月05日 那天写的
9,769 views
用户操作的友好性与安全措施是一对矛盾,在提高安全性的同时,通常会降低可用性。在你为不合逻辑的使用者写代码时,必须要考虑到符合逻辑的正常使用者。要达到适当的平衡的确很难,但是你必须去做好它,没有人能替代你,因为这是你的软件。
PHP服务器脚本
PHP安全编程:网站安全设计的一些原则
深度防范、最小权限
在 2012年05月05日 那天写的
14,523 views
深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。
PHP服务器脚本
PHP set_error_handler()函数的使用
报错信息管理
在 2012年05月05日 那天写的
19,473 views
我们写程序,难免会有问题(是经常会遇到问题 ),而PHP遇到错误时,就会给出出错脚本的位置、行数和原因。有很多人说,这并没有什么大不了。确实,在调试程序阶段,这确实是没啥的,而且我认为给出错误路径是必要的。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
PHP服务器脚本
PHP安全编程:不要让不相关的人看到报错信息
关于错误报告
在 2012年05月05日 那天写的
15,345 views
没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。
PHP服务器脚本
register_globals使用上的一些补充说明
register_globals的安全性问题
在 2012年05月05日 那天写的
5,277 views
register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数,如果你的问题是:为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?等等,那么你需要仔细的阅读以下的内容。 register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。
PHP服务器脚本
PHP安全编程:register_globals的安全性
全局变量注册
在 2012年05月05日 那天写的
23,872 views
如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHP的register_globals配置选项打开时,复杂的原始表单处理不复存在,公用变量会自动建立。它让PHP编程变得容易和方便,但同时也带来了安全隐患。
PHP服务器脚本
让Hostmonster的网站程序也能发送邮件
用端口26发送邮件
在 2012年05月04日 那天写的
9,752 views
HostMonster网站程序一般无法发送邮件,因为端口25阻塞了。许多ISP屏蔽了端口25的使用,而该端口是用来发送邮件的。他们这样做是为了减少垃圾邮件的发送量。所有通过Internet发送的 e-mail 都要通过端口25, 该通道用来进行e-mail 客户端和 e-mail服务器之间的通信。
PHP服务器脚本
用原生PHP写一个像CodeIgniter的路由功能
对PHP的路由功能更熟悉
在 2012年05月03日 那天写的
26,287 views
前段时间写了个关于手机应用的api,一直是用的query_string这种地址,而且还是根据一个act参数来区分所有的动作,这种让开发人员看起来比较费眼。本来想改写为“?c=controller&m=method&type=3&id=1” 这种形式,利用m参数来载入文件并进行实例化,后来看了sina weibo api 是对地址进行了路由。
