dsbgltg159136540 2017-10-18 05:58
浏览 59
已采纳

php安全性以防止恶意软件插入

I am writing a program to be run on a server that takes input from clients in the form http://mywebsite.com/program.php?input=42

I'm concerned that having the client be able to give any value in place of the 42 above could be a security risk because they could put code there that might run on my server. I would like to know if checking that this input is only alphanumberic before proceeding to do anything with it is sufficient protection. If not what should I do to be secure, if so, are there any safety concerns regarding the way in which I do this checking (for example, while checking that the input is alphanumberic could the input if it is malicious code some how get run?)

Thanks

  • 写回答

1条回答 默认 最新

  • duanji6997 2017-10-18 06:10
    关注

    It’s all about how you’re interpreting and using that $_GET['input']

    If you do such a code:

    exec($_GET['input']);

    or

    if($_GET['input']) == 66) {
     exec("rm -r /");
}

    That’s obvious that people can do something dangerous. But it’s less critical than what you think.

    The problem of php it’s that its type system doesn’t encourage people checking their input before using it.

    An usual example is the SQL injectable code:

    $db->query("SELECT * FROM table WHERE id = '. $_GET['id'].'");

    Which is really unsafe.

    In your example, if your input should be an integer you can check if that’s an integer:

    if (!is_integer($_GET['input'])) die("invalid");
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 如何确保前端页面的安全性
    2024-10-15 08:16
    破碎的天堂鸟的博客 确保前端页面的安全性是一个复杂且多方面的任务,需要采取多种措施来防范各种潜在的攻击。以下是一些关键的安全措施:内容安全策略(Content Security Policy,简称CSP)是防止XSS和数据注入攻击的有效工具。通过...
  • PHP数据库陷阱-数据库安全知识集合
    2023-08-16 05:01
    本文将深入探讨PHP数据库陷阱中的SQL注入原理,并提供一系列防范措施,帮助开发者提高系统的安全性。 #### SQL注入原理解释 SQL注入是一种常见的安全漏洞,攻击者可以通过向应用程序提交恶意SQL语句来控制后端...
  • PHP学生成绩查询(源代码).zip
    2024-04-04 14:50
    总的来说,"PHP学生成绩查询(源代码)"不仅是一个实际的Web应用,还涵盖了多个重要的IT知识点,包括PHP编程、MySQL数据库管理、Web安全、性能优化和软件设计原则,对于学习和提升这些技能具有很高的价值。
  • 谈谈你对前端安全的理解,常见的前端安全问题有哪些及如何防范?
    2025-03-16 19:18
    前端布洛芬的博客 跨站脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者会在目标网站中注入恶意脚本,当用户访问该网站时,这些恶意脚本就会在用户的浏览器中执行,从而窃取用户信息、篡改页面内容等。以下是一些防范XSS攻击的方法及...
  • 前端安全编码规范
    2025-01-15 21:48
    2401_89324144的博客 即攻击者诱使用户访问一个页面,就以该用户身份在第三方有害站点中执行了一次操作,泄露了用户的身份信息,接着攻击者就可以使用这个伪造的,但真实存在的身份信息,到某网站冒充用户执行恶意操作。当网站同时存在...
  • 前端安全问题汇总
    2024-12-21 14:39
    m0_74824044的博客 即使携带恶意脚本的响应没有实际在页面被解析执行,但是如果接口响应Content-type此刻为html,这就满足了脚本可执行的基本条件,对于扫描软件来说,这就是有问题的case。当浏览器加载包含 http-equiv 属性的 标签的 ...
  • 基于PHP实现的网上留言管理系统的设计(源代码+论文)1.zip
    2024-04-10 11:19
    6. 安全性:除了上述的SQL注入防护,还应考虑XSS攻击(跨站脚本攻击)和其他安全威胁。例如,使用htmlspecialchars函数转义用户输入,避免恶意脚本执行。 7. 论文部分可能会涵盖系统的需求分析、设计思路、实现过程...
  • 前端常见的安全问题
    2022-03-07 15:45
    你的谎言的博客 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户...
  • 安全防御之恶意代码与防护技术
    2024-05-30 09:34
    网安李李的博客 恶意代码的防范,不是单靠一种或几种技术就能解决的,而要靠技术、管理以及用户安全意识的共同防范,只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。 目前,恶意代码防范方法主要分为两方面:...
  • 上传即可使用的在线小游戏合集网站PHP源码,可做计算机毕业设计
    2023-03-23 15:36
    此外,安全性是任何Web应用的重要考虑因素。在处理用户上传时,要防止恶意文件,如病毒或脚本注入。这可能通过检查文件扩展名、使用`is_uploaded_file`函数验证上传是否成功、以及限制上传文件的大小和类型来实现。...
  • 没有解决我的问题, 去提问