導(dǎo)語(yǔ)：關(guān)于PHP的網(wǎng)站設(shè)計(jì)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1php網(wǎng)站編碼過(guò)程中存在的問(wèn)題

1.1防范sql的注入

一般來(lái)說(shuō)，網(wǎng)站設(shè)計(jì)的程序員在進(jìn)行編寫(xiě)代碼使需要對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，防止信息輕易被泄露，但是如果程序員在網(wǎng)站設(shè)計(jì)時(shí)沒(méi)有進(jìn)行這項(xiàng)操作的話，用戶(hù)就可以通過(guò)提交數(shù)據(jù)庫(kù)查詢(xún)代碼的方式。根據(jù)程序返回的結(jié)果獲得用戶(hù)想知道的數(shù)據(jù)信息資料，這就是所謂的sql注入。Spl的注入很容易就可以使信息被泄露，因此，網(wǎng)站的程序員一定要對(duì)用于輸入的數(shù)據(jù)進(jìn)行合法性判斷，對(duì)信息安全進(jìn)行防御保護(hù)。

1.2or1=1以及union語(yǔ)句的注入

‘or1=1’注入是指在登錄某系統(tǒng)時(shí)可以繞過(guò)密碼驗(yàn)證，利用任意用戶(hù)名登入系統(tǒng)內(nèi)的侵入方式，它是網(wǎng)絡(luò)應(yīng)用中非常經(jīng)典的注入語(yǔ)句。這種注入方式是利用程序員在編寫(xiě)驗(yàn)證程序的時(shí)候，沒(méi)有驗(yàn)證用戶(hù)的輸入是否含有非預(yù)期的字符串，直接傳遞給計(jì)算機(jī)函數(shù)執(zhí)行用戶(hù)的操作請(qǐng)求，這種語(yǔ)句注入方式可以讓密碼匹配與否變得不再重要，而是直接繞過(guò)密碼驗(yàn)證進(jìn)入系統(tǒng)，輕易地獲取用戶(hù)資料與信息。與or1=1注入語(yǔ)句不同的是，union可以通過(guò)該語(yǔ)句的特殊性讓程序原本默認(rèn)的語(yǔ)句出錯(cuò)，通過(guò)讓程序執(zhí)行union之后自己構(gòu)造的sql語(yǔ)句來(lái)達(dá)到語(yǔ)句注入的目的，并直接侵入程序內(nèi)部。

1.3xss跨站攻擊

xss是一種常見(jiàn)的網(wǎng)站攻擊的手段。xss的工作原理與sql注入相差不大，只是xss是通過(guò)將javascript腳本注入到html標(biāo)簽中的方式，刻意的將惡意內(nèi)容輸入到網(wǎng)頁(yè)輸入框內(nèi)，當(dāng)這些惡意的輸入內(nèi)容重新讀回到網(wǎng)站客戶(hù)端時(shí)，瀏覽器會(huì)自動(dòng)解釋并執(zhí)行這些惡意的腳本內(nèi)容，通過(guò)影響網(wǎng)頁(yè)的正常顯示從而達(dá)到腳本片段注入的目的。

1.3.1xss探測(cè)

在判斷一個(gè)網(wǎng)站是否存在xss漏洞是，通常需要輸入探測(cè)語(yǔ)句進(jìn)行網(wǎng)站漏洞監(jiān)檢測(cè)，首先要輸入檢測(cè)語(yǔ)句，然后找到該語(yǔ)句執(zhí)行的地方，如果該地方有彈出窗口就意味著這個(gè)網(wǎng)站存在xss漏洞。如果確定該網(wǎng)站存在信息安全漏洞，黑客就會(huì)有很多種攻擊手法侵入計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部，他們可以通過(guò)將當(dāng)前的網(wǎng)頁(yè)重定向到其他的網(wǎng)頁(yè)中去的方式達(dá)到刷網(wǎng)站流量的目的，除此之外，黑客還可以通過(guò)在專(zhuān)享網(wǎng)站上掛上木馬程序的手段，給網(wǎng)站種下病毒，一旦有不知情的用戶(hù)進(jìn)入該網(wǎng)站，他們的電腦就會(huì)自動(dòng)感染上木馬病毒。

1.3.2xss的利用

XSS是在web應(yīng)用中經(jīng)常出現(xiàn)的計(jì)算機(jī)安全漏洞，它通過(guò)將代碼植入網(wǎng)頁(yè)的方式利用XSS漏洞控制計(jì)算機(jī)。這種類(lèi)型的安全漏洞也常常被黑客利用來(lái)編寫(xiě)惡意的程序。我們?cè)谟行┚W(wǎng)站進(jìn)行瀏覽的時(shí)候，經(jīng)常會(huì)出現(xiàn)有廣告彈出的現(xiàn)象，黑客可以利用xss攻擊頁(yè)面，使那些正在瀏覽該網(wǎng)站信息的計(jì)算機(jī)用戶(hù)自動(dòng)彈出窗口，并且利用這種彈窗在頁(yè)面掛上木馬病毒，讓網(wǎng)頁(yè)用戶(hù)無(wú)辜感染木馬病毒，以此來(lái)獲得用戶(hù)信息。1.3.3利用‘iframe’標(biāo)簽進(jìn)行xss攻擊iframe的主要功能是在網(wǎng)頁(yè)中嵌入其他網(wǎng)頁(yè)是一個(gè)很常用的html標(biāo)簽，它可以通過(guò)height屬性和src指定所嵌頁(yè)面的具體信息。可以將頁(yè)面地址設(shè)置為被掛馬的網(wǎng)頁(yè)進(jìn)行cookie數(shù)據(jù)的竊取。

2安全防御常用方法

2.1安全措施對(duì)用戶(hù)透明

進(jìn)行網(wǎng)站的信息安全保護(hù)時(shí)要盡量做到安全措施對(duì)用戶(hù)透明，讓用戶(hù)很難清除安全保護(hù)措施的應(yīng)用。如果這種方法難以操作可以采用較為常見(jiàn)的信息安全防御措施。最直接的方式就是在用戶(hù)訪問(wèn)受控信息或服務(wù)之前，讓他們輸入用戶(hù)名和密碼，這也是一種比較好的常用的信息安全保護(hù)措施。

2.2對(duì)數(shù)據(jù)進(jìn)行隨時(shí)跟蹤

任何一個(gè)有責(zé)任意識(shí)的網(wǎng)絡(luò)程序開(kāi)發(fā)者，都會(huì)對(duì)數(shù)據(jù)進(jìn)行隨時(shí)的跟蹤。通過(guò)對(duì)數(shù)據(jù)信息的動(dòng)向進(jìn)行跟蹤觀測(cè)防止出現(xiàn)信息安全問(wèn)題。數(shù)據(jù)信息的時(shí)時(shí)跟蹤其實(shí)是一種比較有難度的信息監(jiān)測(cè)手段，特別是一些開(kāi)發(fā)者對(duì)該運(yùn)用原理不夠了解的情況下，進(jìn)行尤其是當(dāng)你對(duì)web的運(yùn)做原理沒(méi)有進(jìn)行深入理解時(shí)。一些開(kāi)發(fā)者雖然對(duì)網(wǎng)站的開(kāi)發(fā)環(huán)境很有經(jīng)驗(yàn)，但是對(duì)web不是很有經(jīng)驗(yàn)的時(shí)候，就會(huì)在程序開(kāi)發(fā)中犯錯(cuò)并制造安全漏洞。

2.3對(duì)輸入信息進(jìn)行過(guò)濾

對(duì)輸入的信息進(jìn)行過(guò)濾的方法是保證網(wǎng)絡(luò)信息安全的重要條件，也是驗(yàn)證輸入的數(shù)據(jù)合法性的過(guò)程。通過(guò)對(duì)用戶(hù)輸入信息的確認(rèn)對(duì)數(shù)據(jù)進(jìn)行過(guò)濾。這種信息過(guò)濾的方式可以避免一些病毒在未知的情況下被誤用。目前大多數(shù)常用的php應(yīng)用都存在缺少數(shù)據(jù)過(guò)濾引起信息安全漏洞。

2.4如何防止sql的注入

雖然網(wǎng)絡(luò)系統(tǒng)的注入的手段很豐富，但這些注入方式都有一個(gè)共同點(diǎn)，就是它們都是利用程序沒(méi)有信息過(guò)濾這一弱點(diǎn)。因此，如果要防止非法注入，也就需要對(duì)查詢(xún)語(yǔ)句進(jìn)行過(guò)濾，一般來(lái)說(shuō)，計(jì)算機(jī)程序的函數(shù)是通過(guò)正則表達(dá)式進(jìn)行常用語(yǔ)句匹配并對(duì)這些語(yǔ)句進(jìn)行過(guò)濾。因此，只要采用了過(guò)濾之后的函數(shù)，利用注入的方式侵入系統(tǒng)的話都會(huì)是失敗的。

3結(jié)束語(yǔ)

本文通過(guò)對(duì)網(wǎng)站設(shè)計(jì)中常見(jiàn)的幾種信息安全漏洞進(jìn)行分析，并提出了幾種解決這些安全漏洞的防御措施，在一定程度上有利于信息的維護(hù)。

作者：王堯單位：江蘇理工學(xué)院計(jì)算機(jī)工程學(xué)院