免费的QQ技术网,残梦资源网,小刀娱乐网,小高教程网,QQ教程网

网站首页 编程案例 正文

如何使用PHP防范SQL注入、CSRF、XSS攻击

2017-12-15 编程案例 2108 ℃ 1 评论

一 如何防范SQL注入

1、使用PDO预处理的方式,一个萝卜一个坑。预处理,将输入的数值,绑定到参数,也就是放进坑里(一个萝卜一个坑,一个参数一个坑),这样输入的内容(外部的内容)就都落到坑里了,在每个坑里处理每个参数,这样就安全了,不会出现SQL注入。

2、使用htmlspecialchars()等函数进行转移,还可以对输入的类型进行检测,类型转换。

二 如何方法CSRF攻击

1、使用token进行验证,可以再HTTP请求中已参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。(可以使用GET或者POST方法加token)

2、验证HTTP Referer字段。HTTP Referer字段,记录该HTTP请求的来源。如果来源是外部,那么就拒绝这个请求。(这个方法不安全,可以串改HTTP Referer字段)

3、一般框架,想Thinkphp,laravel有表单令牌可以做防范。

三 如何防范XSS攻击

1、案例:听以前在阿里的同事分享:之前淘宝有一个意见反馈功能,有一天后台人员查看用户提交的意见,打开的某一条意见的瞬间,自动跳转到了另一个网站。但当时幸亏是阿里内网,对外网做了限制,没有造成危害。可见,XSS不可小觑。

2、防范:最简单的办法,过滤输入。对用户的输入,可以使用htmlspecialchars()等函数进行过滤转义,当然,一些文件上传等,也可能会造成此攻击,要限制上传文件的类型,比如只能传图片等。


Tags:PHP例子

已有1位网友发表了看法:

欢迎 发表评论:

网站分类
标签列表
最近发表