我刚读过this article about piggy backing in PHP。
我用Google搜索了,但没有那么多信息。
任何人都可以告诉我更多细节如何防止这种攻击,什么样的代码实践是易碎的,我们应该做什么?
提前致谢。
答案 0 :(得分:2)
那篇文章似乎指的是一个易受攻击的Web应用程序,而不是PHP的任何特定内容。
此前一个主题提供了一些有关编写安全PHP代码的有用信息:
What security issues should I look out for in PHP
如果我们将文章中的“他们使用这些漏洞将PHP代码注入网站”部分,那么开发人员可能会使用包含/ require语句的用户输入或eval
答案 1 :(得分:0)
这篇文章并不是特别清楚,但我的猜测是他们只是使用了SQL注入,并且为了避免检测,他们插入的脚本实际上并没有真正改变网站的行为,除非访问者来自谷歌使用相关的搜索词,作者在那种情况下调用重定向“捎带”。
所以:转义并验证所有用户输入。
答案 2 :(得分:0)
general subject上的第一个链接应该给你一些概述。
第二个链接是PHP / SQL - 具体,应引导您进行启发。
答案 3 :(得分:0)
BBC新闻文章谈论的是“persistent xss”。留下新闻来讨论黑客行为而不提及任何有关漏洞的内容。但这可能是bbc.co.uk不知道xss漏洞是什么,因为如果他们这样做,他们会 patch their own damn site! 。
有很多方法可以针对PHP Web应用程序实现远程代码执行。没有人应该称之为“PHP注入”,如果他们称之为“那么他们不知道他们在说什么”。 A Study In Scarlet是一篇很好的论文,详细介绍了攻击者可以用来获取针对PHP应用程序的远程代码执行的许多不同方法。本文适用于恶意黑客,而不是开发人员。
到目前为止,XSS是在某人网站上进行邪恶宫廷广告的最简单,最常用的方法。