发表评论取消回复
相关阅读
相关 PHP安全编程之PHP的安全模式
PHP的safe\_mode选项的目的是为了解决本小节前后所述的某些问题。但是,在PHP层面上去解决这类问题从架构上来看是不正确的,正如PHP手册所述(http://php.n
相关 PHP安全编程之主机文件目录浏览
除了能在共享服务器上读取任意文件之外,攻击者还能建立一个可以浏览文件系统的脚本。由于你的大多数敏感文件不会保存在网站主目录下,此类脚本一般用于找到你的源文件的所在位置。请看下例
相关 PHP安全编程之共享主机的源码安全
你的WEB服务器必须要能够读取你的源确并执行它,这就意味着任意人所写的代码被服务器运行时,它同样可以读取你的源码。在一个共享主机上,最大的风险是由于WEB服务器是共享的,因此其
相关 PHP安全编程之记住登录状态的安全做法
永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证
相关 PHP安全编程之打开远程文件的风险
PHP有一个配置选项叫allow\_url\_fopen,该选项默认是有效的。它允许你指向许多类型的资源,并像本地文件一样处理。例如,通过读取URL你可以取得某一个页面的内容(
相关 PHP安全编程之文件包含的代码注入攻击
一个特别危险的情形是当你试图使用被污染数据作为动态[包含][Link 1]的前导部分时: <?php include "{$_GET['path']
相关 PHP安全编程之session劫持的防御
session 数据暴露 会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服
相关 PHP安全编程之文件上传攻击的防御
有时在除了标准的表单数据外,你还需要让用户进行[文件上传][Link 1]。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form
相关 PHP安全编程之网站安全设计的一些原则
深度防范 深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。 深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份
相关 PHP安全编程之register_globals的安全性
如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHP的register\_globals配置选项打开时,复杂的原始表单处理不复存
还没有评论,来说两句吧...