请教有经验的PHP老鸟,程序的安全性!? SQL注入=====是不是专门黑网站用的, 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 你可以上传文件或写html到你的数据库就很容易被写如iframe啊 上传文件地址栏参数表单数据cookie错误提示 呵呵,大家来点实际的/* *防注入处理 */if(!get_magic_quotes_gpc()){ immit(___FCKpd___0POST); immit(___FCKpd___0GET); immit(___FCKpd___0COOKIE);}//防注入处理(为变量加入斜杠)函数//参数 $array 为防注入变量数组 function immit(&$array){ foreach($array as $key=>$value){ if(!is_array($value)){ $array[$key]=addslashes($value); }else{ immit($array[$key]); } }} php中如何避免sql注入攻击if(!get_magic_quotes_gpc()){callUserFunc(___FCKpd___0GET,'addslashes');callUserFunc(___FCKpd___0POST,'addslashes'); }就可以了,字段值加 ' 就可以了,如查询文章"SELECT * FROM table WHERE id='$id'" 一般的主要注意以下几项:脚本攻击(危害不太大主要是对客户端).解决:将用户发表的文字用htmlspecialchars处理.sql注入.解决:最好打开get_magic_quotes_gpc若未打开用addslashes替换用户以post或get方式传输的数据.或限制传输的数据长度在安全范围内(比如限制1-2个char长),或严格检查用户传输数据的类型.我见过有人在asp内检测关键字这是一个解决方法,但效率不高.上传漏洞:解决:检查用户传输文件大小,限制其大小检查用户传输文件的类型,绝对不允许用户传apache会解释的文件(检测文件后缀即可)背份还原漏洞:解决:管理好管理员密码.做好日志以上是我总结的一些黑客常用的攻击方法,还有什么方法希望大家补充,交流. 你可以看下PHP安全基础 地址自己搜索 程序方面主要是SQL漏洞了,檢查一下程序的嚴密性。被黑也不一定是程序方面的! 其实magic_quotes_gpc设置为ON 会有一定的用处~! 晕,网站安全当然重要啦,不过也主要是那几种攻击方式。PHP手册里有关安全的有相当一部分描述啊。 应该是服务器问题吧.你是不是用的IIS+PHP??? thinkphp 连接mysql 问题 如何匹配多个关键字? zend如何使用? php小程序 [疑问]关于运行PHP采集程序的方法 下拉框如何固定行数 PHP5连接ORACLE9的问题 IPB 论坛 中文显示的问题? 想到深圳找工作,有几问题想问一下大家,谢谢! 为何一用header函数就会出错 已经用include包含进来php文件,能再把他去除掉吗 数据库连接出错
或写html到你的数据库就很容易被写如iframe啊
地址栏参数
表单数据
cookie错误提示
/*
*防注入处理
*/
if(!get_magic_quotes_gpc()){
immit(___FCKpd___0
POST);
immit(___FCKpd___0
GET);
immit(___FCKpd___0
COOKIE);
}
//防注入处理(为变量加入斜杠)函数
//参数 $array 为防注入变量数组
function immit(&$array){
foreach($array as $key=>$value){
if(!is_array($value)){
$array[$key]=addslashes($value);
}else{
immit($array[$key]);
}
}
}
php中如何避免sql注入攻击
if(!get_magic_quotes_gpc()){
callUserFunc(___FCKpd___0
GET,'addslashes');
callUserFunc(___FCKpd___0
POST,'addslashes');
}
就可以了,字段值加 ' 就可以了,如查询文章
"SELECT * FROM table WHERE id='$id'"
脚本攻击(危害不太大主要是对客户端).
解决:将用户发表的文字用htmlspecialchars处理.sql注入.
解决:
最好打开get_magic_quotes_gpc若未打开用addslashes替换用户以post或get方式传输的数据.
或限制传输的数据长度在安全范围内(比如限制1-2个char长),
或严格检查用户传输数据的类型.我见过有人在asp内检测关键字这是一个解决方法,但效率不高.上传漏洞:
解决:
检查用户传输文件大小,限制其大小
检查用户传输文件的类型,绝对不允许用户传apache会解释的文件(检测文件后缀即可)背份还原漏洞:
解决:
管理好管理员密码.做好日志以上是我总结的一些黑客常用的攻击方法,还有什么方法希望大家补充,交流.
被黑也不一定是程序方面的!
你是不是用的IIS+PHP???