网站漏洞攻击、防御

网站漏洞攻击、防御 作为一种编程语言，PHP有许多优点，但安全性也是一个主要的问题。部分安全问题是语言本身固有的，因为PHP设计的初衷就是一个简单而强大的编程语言，而安全性是第二位的。但是，当您编码习惯不好，甚至是基本的安全规则都不遵守，造成的后果将不堪设想。 幸运的是，PHP漏洞是容易防范的，并且采取一些防范措施以后，PHP应用会更加安全。当你想防范PHP漏洞时，这里有一些好的防范措施，它们将使你的网站更加安全。当然，一些防范措施对所有编程语言都是通用的，不仅限于PHP。 防范SQL注入漏洞 SQL注入漏洞是最典型的PHP漏洞之一，许多黑客利用它进行攻击。为了防止SQL注入漏洞，你需要时刻检查输入的数据，并且转义一些特殊字符，如单引号，双引号。如果你这样作了，那么，通过执行恶意SQL查询来接管你的数据库或是以其它方式破坏你网站的安全性几乎是不可能的。 两种最常用的防范SQL注入的是:使用mysql_real_escape_string函数和Portable Data Objects (PDO) 。mysql_real_escape_string() 函数会转义SQL 语句中使用的字符串中的特殊字符。PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口，它提供了一个数据访问抽象层，这样，无论你使用什么数据库，你都可以通过一致的函数执行查询和获取数据。 不给跨站脚本漏洞可乘之机 跨站点脚本(XSS)在PHP中也很常见。同样，防范XSS也需要过滤用户输入的数据，正确转义HTML字符。如果你是这样做的，你将免受XSS漏洞的困扰。否则，黑客可能向你网站的页面插入HTML代码(甚至是javascript脚本)，可能造成页面被篡改或网站上用户的数据被窃取。 防范XSS的最好方法是使用htmlspecialchars函数 。htmlspecialchars函数的功能是转换特殊字符为HTML实体编码。虽然，使用htmlspecialchars函数不一定能够完全杜绝XSS漏洞，但是它可以加大黑客成功攻击的难度。 当心文件包含漏洞 在所有的PHP漏洞中，文件包含漏洞的是影响最严重的。一个文件包含漏洞可以使黑客在服务器上部署执行任意文件，当register_globals开启并且未检查输入变量时，容易造成文件包含漏洞。 防件包含漏洞最好的方法是:时刻注意PHP include()函数的使用，如果你不能确信你能够正确使用它，那么你最好放弃使用它。这将有助于避免文件包含漏洞。 不要忘记初始化变量 从安全角度讲，未初始化的变量是一个巨大的风险，因此，要避免未初始化的变量。 不要开启register_globals 文件包含漏洞并不是register_globals带来的唯一安全威胁，register_globals指令是十分强大的，不幸的是它非常容易被滥用。在最近版本的PHP中register_globals指令默认是关闭的，PHP6已经完全移除了它。如果你是早期版本的PHP，花一点时间检查它是否开启还是十分有必要的。 加密总是有帮助的 无论你使用哪种语言编程，加密总是有帮助的。不要留下任何未加密的敏感数据，因为这是黑客最想要的。 使用工具测试你的PHP代码 有许多工具可以测试PHP代码的安全性，当然，你应该尽最大的可能写安全的代码，遵守安全编码规则，仔细检查错误代码。但一个自动化的代码检查工具总是有用的。最好的测试PHP漏洞的工具包括:PhpSecInfo, PHP Security Scanner, 和Spike PHP Security Audit Tool。