浅谈PHP安全防护之Web攻击

SQL注入攻击(SQL Injection)

攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

常见的SQL注入式攻击过程类如：

1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；

2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数；

例如：

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容；

4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；

6.由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。

系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表

防范方法：

      1.检查变量数据类型和格式

      2.过滤特殊符号

      3.绑定变量，使用预编译语句

跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上，其他用户在加载网页时就会执行代码，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
例如：

<?php
echo "欢迎您，".$_GET['name'];

如果传入一段脚本<script>[code]</script> ，那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框：http://localhost/test.php?name=<script>alert(123456)</script>

常用的攻击手段有：

盗用cookie，获取敏感信息；

利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；

利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；

在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如:

某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=100，item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接
，那么如果目标用户不小心访问以后，购买的数量就成了100个

防范方法：

      1、检查网页的来源

      2、检查内置的隐藏变量

      3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站http:///www.bank.com，获取他自己的session id，如：SID=123；

2.攻击者给目标用户发送链接，并带上自己的session id，如：http:///www.bank.com/?SID=123；

3.目标用户点击了http:///www.bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；

4.由于服务器的session id不改变，现在攻击者点击http:///www.bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。

防范方法：

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session

2.更改session的名称

session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id，直到破解为止;

2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;

3.窃取:使用网络截获，xss攻击等方法获得

防范方法：

      1.定期更改session id

      2.更改session的名称

      3.关闭透明化session id

      4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有：

上传Web脚本代码，Web容器解释执行上传的恶意脚本；

上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；

上传病毒、木马文件，诱骗用户和管理员下载执行；

上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。

总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。

防范方法：

      1.文件上传的目录设置为不可执行；

      2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；

      3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；

      4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

参考资料：

http://os.51cto.com/art/201204/328938.htm

https://www.zhihu.com/question/22953267

http://wt7315.blog.51cto.com/10319657/1865580

http://www.plhwin.com/2014/06/13/web-security-sql/

总结

以上就是关于PHP安全防护之Web攻击的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。

# php  # web安全  # web安全攻击  # web漏洞攻击  # 解决  # php常见的网络攻击及防御方法  # 全世界最小的php网页木马一枚 附PHP木马的防范方法  # PHP include任意文件或URL介绍  # PHP Include文件实例讲解  # php安全攻防世界unserialize函数反序列化示例详解  # 上传  # 自己的  # 表单  # 恶意代码  # 就会  # 存储过程  # 文件上传  # 客户端  # 透明化  # 用户发送  # 就可以  # 应用程序  # 访问权限  # 器中  # 随机数  # 也会  # 又是  # 将会  # 就有  # 欢迎您 

相关文章： PHP 500报错的快速解决方法  昆明高端网站制作公司,昆明公租房申请网上登录入口？  行程制作网站有哪些,第三方机票电子行程单怎么开？  教学论文网站制作软件有哪些,写论文用什么软件 ？  如何在Golang中实现微服务服务拆分_Golang微服务拆分与接口管理方法  如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  如何在宝塔面板中创建新站点？  建站之星导航配置指南：自助建站与SEO优化全解析  如何在阿里云通过域名搭建网站？  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  非常酷的网站设计制作软件,酷培ai教育官方网站？  如何高效配置IIS服务器搭建网站？  建站之星收费标准详解：套餐费用及年费价格表一览  南平网站制作公司,2025年南平市事业单位报名时间？  网站按钮制作软件,如何实现网页中按钮的自动点击？  如何选择高性价比服务器搭建个人网站？  建站之星好吗？新手能否轻松上手建站？  微网站制作教程,我微信里的网站怎么才能复制到浏览器里？  在线流程图制作网站手机版,谁能推荐几个好的CG原画资源网站么？  javascript基本数据类型及类型检测常用方法小结  北京企业网站设计制作公司,北京铁路集团官方网站？  建站之星安装提示数据库无法连接如何解决？  C++如何将C风格字符串（char*）转换为std::string？（代码示例）  如何在云服务器上快速搭建个人网站？  我的世界制作壁纸网站下载,手机怎么换我的世界壁纸？  小视频制作网站有哪些,有什么看国内小视频的网站，求推荐？  建站IDE高效指南：快速搭建+SEO优化+自适应模板全解析  建站主机功能解析：服务器选择与快速搭建指南  家族网站制作贴纸教程视频,用豆子做粘帖画怎么制作？  如何通过虚拟主机快速完成网站搭建？  宝塔建站无法访问？如何排查配置与端口问题？  七夕网站制作视频,七夕大促活动怎么报名？  简单实现Android验证码  南宁网站建设制作定制,南宁网站建设可以定制吗？  宝塔面板如何快速创建新站点？  北京网页设计制作网站有哪些,继续教育自动播放怎么设置？  建站主机与服务器功能差异如何区分？  专业网站制作企业网站,如何制作一个企业网站，建设网站的基本步骤有哪些？  c++怎么用jemalloc c++替换默认内存分配器【性能】  如何在阿里云虚拟服务器快速搭建网站？  如何在IIS中新建站点并配置端口与物理路径？  猪八戒网站制作视频,开发一个猪八戒网站，大约需要多少？或者自己请程序员，需要什么程序员，多少程序员能完成？  如何使用Golang table-driven基准测试_多组数据测量函数效率  香港服务器如何优化才能显著提升网站加载速度？  制作营销网站公司,淘特是干什么用的？  ,购物网站怎么盈利呢？  专业企业网站设计制作公司,如何理解商贸企业的统一配送和分销网络建设？  如何在阿里云虚拟主机上快速搭建个人网站？  如何快速生成专业多端适配建站电话？  北京制作网站的公司,北京铁路集团官方网站？