假设我有一个网站
htmlspecialchars()
ed。error_reporting()
已关闭.htaccess
evil()
它被认为是安全的吗?还有哪些其他方法可以修复以提高安全性?你怎么能攻击它?哈哈呢? PHP / Server端可以提高安全性吗?
答案 0 :(得分:5)
查看此页面:PHP Security Guide。大多数攻击都有记录。如果在实施这些安全检查后,您仍然被黑客攻击,那么很可能问题不是来自您的PHP应用程序。
顺便说一下,正如@Jacco所说,我链接的文章有一些错误的内容。
答案 1 :(得分:2)
我记得当我开始进行网络开发时,我读到了关于清理数据的分配,创建了大量具有特定查询权限子集的mysql用户等。
它让您了解使用代码处理安全性的思维方式,而不是操作系统。
如果使用telnet连接到控制台,或者使用ftp进行身份验证,那么所有这些都有用吗?
我想我应该切入点。我认为像php mysql等现代开源技术已经构建了许多安全功能,这给了我一种虚假的安全感。
与通过蛮力攻击攻击控制台相比,通过这些技术可以造成的伤害可以忽略不计。如果我是你,我会担心更多关于打造一个合适的防火墙,并且只允许端口80或您需要的最少端口。如果启用控制台访问权限,我只允许使用桌面IP等。
并确保您是否曾发送密码,即通过ssl加密
答案 2 :(得分:1)
没有绝对的安全保障,您可以在上面的答案中添加以下内容:
答案 3 :(得分:0)
安全性是任何产品的一个主要问题,并且它不能通过一些手指计数策略来实现,但它们很重要,因此代码中的每个地方都会认为负面的可能性并且反对它们以防止它们。
你必须做的其他事情
答案 4 :(得分:0)
重要的是要注意“安全”是基于上下文的术语。这在很大程度上取决于您的需求,并且有些公司(我在看着你)谷歌甚至根本不考虑安装PHP。
如果你在一家大公司工作,我建议雇用专业人士的服务。我从朋友那里听说这家公司对所有大公司进行了检查,这似乎很可能因为他们是分发Kali Linux的人
https://www.offensive-security.com/offensive-security-solutions/penetration-testing-services/
答案 5 :(得分:0)
还可能存在多个其他问题,例如会话问题,敏感信息枚举,授权和身份验证问题等等。传统的安全编码指南无法解决业务逻辑绕过等问题。但是,查看PHP Security Cheat Sheet和OWASP PHP Security Project对于了解安全问题的大局非常有帮助。
答案 6 :(得分:0)
您可以通过解决RIPSTech(https://www.ripstech.com/php-security-calendar-2017/)的PHP安全挑战或阅读他们在流行的PHP应用程序中发现的真实漏洞的文章来了解有关利用PHP安全问题和相关攻击技术的更多信息({{3 }})