Hướng dẫn php _post security - php _post bảo mật

Tács giả: dương nguyễn phú cường

NgàoHồi xưa đó

Các mối đe dọa an ninh tiềm năng

Về cơ bản, họ là hai nhóm người có thể tấn công hệ thống của bạn

• Tin tặc - với mục đích truy cập vào dữ liệu trái phép hoặc phá vỡ ứng dụng
• Người dùng - Họ có thể nhập vào các tham số sai trong các biểu mẫu có thể có tác động tiêu cực trên trang web hoặc ứng dụng web.

Sau đây là các loại tấn công mà chúng ta cần phải chú ý. SQL Injection & nbsp; - Loại tấn công này nối mã có hại cho & nbsp; sql & nbsp; from. Điều này được thực hiện bằng cách sử dụng các biểu mẫu đầu vào hoặc URL của người dùng sử dụng các biến. Mã được thêm vào nhận xét điều kiện trong mệnh đề WHERE của câu lệnh SQL. Mã được thêm vào cũng có thể;SQL Injection – This type of attack appends harmful code to SQL statements. This is done using either user input forms or URLs that use variables. The appended code comments the condition in the WHERE clause of an SQL statement. The appended code can also;

• Chèn một điều kiện sẽ luôn đúng
• Xóa dữ liệu khỏi bảng
• Cập nhật dữ liệu trong bảng
• Loại tấn công này thường được sử dụng để có quyền truy cập trái phép vào một ứng dụng.

Kịch bản trang web chéo-& nbsp; Loại tấn công này chèn mã có hại thường là JavaScript. Điều này được thực hiện bằng cách sử dụng các biểu mẫu đầu vào của người dùng như liên hệ với chúng tôi và các mẫu bình luận. Điều này được thực hiện để; this type of attack inserts harmful code usually JavaScript. This is done using user input forms such as contact us and comments forms. This is done to;

• Lấy thông tin nhạy cảm như dữ liệu cookie
• Chuyển hướng người dùng đến một URL khác.
• Các mối đe dọa khác có thể bao gồm - tiêm mã PHP, tiêm vỏ, tiêm email, công bố mã nguồn tập lệnh, v.v.

Bảo mật ứng dụng PHP thực hành tốt nhất

Bây giờ, hãy xem xét một số thực tiễn tốt nhất của bảo mật PHP mà chúng ta phải xem xét khi phát triển các ứng dụng của mình.

Các chức năng Strip_tags sẽ loại bỏ HTML, & nbsp; javascript & nbsp; hoặc thẻ PHP từ một chuỗi. Chức năng này rất hữu ích khi chúng ta phải bảo vệ ứng dụng của mình chống lại các cuộc tấn công như kịch bản trang web chéo. Hãy cùng xem xét một ứng dụng chấp nhận nhận xét từ người dùng.

Giả sử bạn đã lưu bình luận.php trong thư mục PHPTUTS, duyệt đến URL & NBSP; //localhost/phptuts/comments.php //localhost/phptuts/comments.php