请问PHP网站的后台如何查看其已有的安全措施或如何设计一些安全措施来提高安全
2个回答
展开全部
查看已有的安全措施还真没什么好想法,最多看看php.ini是否开了magic_quote,safe_mode之类的(慎重开启)。还有各文件夹权限。一些比如doc_root,之类的apache设置php本身并不能查看。以及是否安装使用ssl。
至于安全措施那可太多了。简要说几点最实用的:
一些apache服务器安全配置我就不说了,网上很容易就能找出一堆,其实
在服务器管理主要有一个基本原则就是分好文件夹,能执行php的文件夹绝不给写入权,能写入的文件夹绝不能给php执行权。
数据库管理中严格规定好数据库用户的权限,通常安装好网站之后只给它某些表的delete,update,select,insert权限,但有些用视图和索引存储过程的表要注意放权。
在程序员能够控制的范围主要是防注入和xss,以及一些syetem,exec语句的防篡改。
对于sql注入,主要是对存入数据库的变量addslashes().(数据库是gbk编码时有漏洞)同时注意拼接字符串时候一定要给变量用单引号'围起来如select * from user where name='$name'
对于xss,主要是清除特殊标签和属性,或者完全去除html标签,通常用正则去掉特殊标签,用strip_tags全部去除html(不大实用,最好还是正则去除),还有就是替换<>"&'成html编码。
对于system等shell防范:如果根本用不着这些危险的语句,管理员可以直接在php.ini 的disable_functions里添加名单,屏蔽掉,如果有使用,在接收外部语句的时候要使用escapeshellarg()来包围篡改语句。
当然这里只是抛砖引玉,具体更多,百度php安全防范,php安全编程
至于安全措施那可太多了。简要说几点最实用的:
一些apache服务器安全配置我就不说了,网上很容易就能找出一堆,其实
在服务器管理主要有一个基本原则就是分好文件夹,能执行php的文件夹绝不给写入权,能写入的文件夹绝不能给php执行权。
数据库管理中严格规定好数据库用户的权限,通常安装好网站之后只给它某些表的delete,update,select,insert权限,但有些用视图和索引存储过程的表要注意放权。
在程序员能够控制的范围主要是防注入和xss,以及一些syetem,exec语句的防篡改。
对于sql注入,主要是对存入数据库的变量addslashes().(数据库是gbk编码时有漏洞)同时注意拼接字符串时候一定要给变量用单引号'围起来如select * from user where name='$name'
对于xss,主要是清除特殊标签和属性,或者完全去除html标签,通常用正则去掉特殊标签,用strip_tags全部去除html(不大实用,最好还是正则去除),还有就是替换<>"&'成html编码。
对于system等shell防范:如果根本用不着这些危险的语句,管理员可以直接在php.ini 的disable_functions里添加名单,屏蔽掉,如果有使用,在接收外部语句的时候要使用escapeshellarg()来包围篡改语句。
当然这里只是抛砖引玉,具体更多,百度php安全防范,php安全编程
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
云创
2023-07-25 广告
代码静态分析服务的费用因服务提供商、服务类型、服务范围、服务时长等因素而异,因此没有一个固定的费用标准。以下是一些可能影响费用的因素:1. 服务提供商:不同的服务提供商可能会有不同的收费标准和服务质量。2. 服务类型:不同的代码静态分析服务...
点击进入详情页
本回答由云创提供
展开全部
我一般是两种方法 一是 <?php phpinfo()?> 另一个 去传个php大马 看一下就ok了
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
