網站位置: /論文/論文目錄/寫作范文資料閱讀

系統類論文目錄怎么設置,關于PHP安全漏洞防范相關論文范文參考文獻

全文下載

本文是一篇系統論文范文,系統類碩士學位論文,關于PHP安全漏洞防范相關畢業論文模板范文。適合系統及安全漏洞及網站方面的的大學碩士和本科畢業論文以及系統相關開題報告范文和職稱論文寫作參考文獻資料下載。

【 摘 要 】 文章分別從網站開發和網站管理的角度,研究了PHP安全漏洞的防范.這樣一來,只要網站開發人員和網站管理人員不同時出現工作失誤,就不會發生重大網站安全事故.

【 關 鍵 詞 】 PHP安全漏洞;PHP開發安全;PHP安全配置

1.引言

PHP因其功能強大、入門簡單、代碼執行效率高等優點,成为了Web應用開發的流行語言.由于使用廣泛,所以利用PHP安全漏洞對Web網站進行的攻擊也越來越多,這給Web應用的安全帶來了嚴重威脅.

對網站的安全負有直接責任的主要有兩類人員:一類是網站開發人員;一類是網站管理人員.本文分別從網站開發和網站管理的角度,對PHP安全漏洞的防范進行了較為全面的总结、研究.

2.PHP網站開發過程中产生的安全漏洞及其防范

從網站開發的角度出發,研究在程序的開發過程中,如何避免PHP安全漏洞的产生,从而開發出較為安全的PHP網站.

對以往大量攻擊案例的研究表明,PHP安全漏洞的产生原因主要是沒有對用戶的輸入進行嚴格的驗證和對系統的輸出沒有進行適當的轉義.用戶的輸入永遠是不可以盲目相信的,在沒有進行驗證前,都可以認為是被污染數據.系統的輸出在沒有適當轉義前,也有可能帶來較大的安全風險.

2.1 未對用戶輸入進行嚴格驗證产生安全漏洞及其防范

考虑一個系統的登錄驗證,此系統要求用注冊時所填的和 登錄.一般情況下,只要輸入正確即可登錄,如果輸入錯誤則不允許登錄,這是通常的处理流程.其程序實現一般是,通過一個登錄表單獲取用戶輸入的和 ,然后傳遞給程序以構造一個SQL查詢語句,例如:select count(*) from users where 等于'my@163.' and password等于'mypass',再將此SQL語句提交給后臺數據庫執行,若返回的記錄數為0,則說明輸入的信息或 有誤或用戶根本沒有注冊,系統拒絕其登錄,反之则為合法用戶,允許其登錄.這套驗證流程對于一般的客戶是十分奏效的,其若沒有注冊亦或沒有輸入正確的和 都是不能登錄系統的.但對于黑客來說,情況就不一樣了.其完全可以精心設計一個字符串來代替合法地址从而繞過系統的驗證,例如:若黑客輸入的地址是“my' or 1等于1--”、 是“myppass”,此时,SQL語句變為:select count(*) from users where 等于'my' or 1等于1--' and password等于'mypass',此語句執行后所返回的記錄數是users表的所有記錄總數,并不為0,所以通過了系統的登錄驗證,系統允許其登錄.這就是著名的SQL注入攻擊.導致這個后果的原因是黑客精心構造了一個字符串用于代替合法地址且系統并未對用戶輸入的數據本身進行合法性檢查.


這篇論文url http://www.yidxtn.tw/mulu/458143.html

為了對上述PHP安全漏洞進行防范,我們可以對用戶的輸入進行合法性驗證.

此处要求輸入的是地址,為了對用戶輸入的數據本身進行合法性檢查,我們可以用正則表達式對用戶輸入的地址進行驗證,看是否符合正確的格式,這樣就可以大大增加黑客設計特殊字符串的難度,在一定程度上防止SQL注入漏洞的产生.

在任何情況下,如果對用戶的輸入均進行嚴格的驗證(当然,驗證方法根據不同情況而有所不同,并不局限于正則表達式),這就可以在很大程度上對PHP安全漏洞進行防范.

2.2 未對系統的輸出進行適當轉義产生安全漏洞及其防范

未對系統的輸出進行適當轉義也會产生安全漏洞,跨站腳本漏洞就是一個很著名的例子.假設有一個可以發表評論的系統,其采用表單的形式進行數據提交.對于一般用戶,這不會有什么太大問題,但是對于黑客,問題就來了.因為黑客并不是真的想發表什么評論,其有可能是想盜取其他登錄用戶的cookies.為了盜取其他登錄用戶的cookies,黑客可以將如下Javascript代碼作为評論內容進行提交:

如果在輸出前對黑客所提交的內容不做任何轉義的话,那么此段Javascript代碼將被其他用戶的瀏覽器所執行,从而將瀏覽評論的其他登錄用戶的cookies發送到http://cheat.evil./hook.php,黑客只要利用$_GET['cookies']就可以獲取到盜竊的cookies了.

這就是跨站腳本漏洞的一個經典攻擊實例.

為了防范上述跨站腳本漏洞攻擊,我們所要采取的措施很簡單:在將評論內容輸出到客戶端瀏覽器之前,利用entities()函數對輸出內容進行轉義.此函數可以將輸出內容中可能包含的標簽轉換成實體,从而使得黑客輸入的Javascript代碼不被執行.

任何情況下,對于系統的輸出都應該進行適當的轉義(轉義方法根據不同情況而有所不同,并不局限于entities()函數),這樣才不會讓黑客有機可乘.

3.合理進行PHP安全配置防范PHP安全漏洞

上面從網站開發的角度,研究了怎樣開發出安全的PHP網站.但是,如果開發人員缺乏安全意識或者經驗不足,開發出的網站不夠安全,如何彌補呢?這就是本節要解決的問題.本節站在網站管理的角度,討論了如何對PHP網站進行安全配置,以此防范PHP安全漏洞.

3.1 打開安全模式

如同微軟的操作系統有一個“安全模式”一樣,PHP也可以運行在“安全模式”下.PHP的安全模式是一個PHP內嵌的安全機制,當PHP運行在安全模式下時,有許多可能導致安全問題的函數將會被忽略或功能受到限制,以此提高系統的安全性. 打開方法如下:將php.ini文件中的safe_mode選項設定為On,即safe_mode等于On.

打開安全模式后注意事項.

(1)默認情況下,在安全模式下打開文件,PHP會做UID比較檢查,這是一種比GID更為嚴格的檢查方式,但有可能會帶來一些麻煩和不便.所以,若要執行寬松一些的檢查,可以打開safe_mode_gid選項,即safe_mode_gid 等于 On.

(2)在安全模式下,若要執行某些特定程序(一般情況下是不需要的,也不推薦執行),需要將safe_mode_exec_dir選項的值設定為該程序所在目錄路徑,否則無法執行,為了安全起見,建議創建一個特定目錄用來存放這些要執行的程序而不要將其存放在系統程序所在目錄,例如:safe_mode_exec_dir 等于 d:/usr/exec.

(3)為使代碼正常運行,有時需要在安全模式下包含文件,這時可以將safe_mode_include_dir選項的值設定為被包含文件所在目錄,例如:safe_mode_include_dir 等于 d:/usr/include/.

3.2 其他安全配置

為進一步防范PHP安全漏洞,光使PHP網站運行在安全模式下是不夠的,還需進行一些輔助配置.

(1)限制PHP Shell能夠訪問的目錄

PHP Shell是一個用PHP腳本封裝的Web工具,用于遠程執行服務器上的命令和瀏覽服務器上的文件,从而遠程管理Web服務器.為了減少使用PHP Shell帶來的安全風險,可以利用php.ini中的open_basedir選項來設定PHP腳本所能訪問的目錄,拒絕其訪問不該訪問的目錄,例如:open_basedir 等于 d:/.

(2)關閉可能帶來安全風險的函數

一般情況下,如果開啟了安全模式,大部分可能帶來安全風險的函數已經被禁用或功能受到限制,但為了更加保險起見,還可以在php.ini文件的disable_functions選項中將這些函數包含進來,例如:disable_functions 等于 system, exec等.此選項可以和其他選項配合以达到更好的安全效果.

(3)防止PHP版本信息的泄露

為了防止攻擊者通過了解PHP版本信息尋找安全漏洞,可以利用php.ini中的expose_php選項關閉PHP版本信息在http頭中的顯示,例如:expose_php 等于 Off,這樣設定以后,當攻擊者tel某網站時就看不到該網站所采用的PHP的版本信息了.

(4)關閉全局變量注冊

在PHP中提交的變量,包括使用POST或者GET方法提交的變量,默認都被注冊為全局變量,能夠直接進行訪問,這對網站是非常不安全的,可以利用php.ini中的register_globals選項關閉全局變量注冊,例如:register_globals 等于 Off.

在關閉全局變量注冊以后,獲取變量時必须采用特定的方式,比如:獲取由POST方法提交的變量E-mail,就必须用$_GET['']的方式來獲取.

(5)打開magic_quotes_gpc選項,防止SQL注入

SQL注入是非常危險的攻擊,攻擊者通過精心設計特定的輸入字符串來構造特定的SQL查詢并使數據庫執行,从而达到攻擊目的,輕則導致信息泄露,重則導致網站癱瘓.SQL注入的产生主要是對用戶的輸入沒有進行嚴格驗證和對系統的輸出沒有進行適當轉義導致的.

為了降低SQL注入攻擊的可能性,可以將php.ini中的magic_quotes_gpc選項打開,例如:magic_quotes_gpc 等于 On,此選項打開以后,系統將對向數據庫提交的SQL查詢進行轉義,从而在相當程度上減少SQL注入攻擊的發生.

(6)關閉錯誤信息的顯示

系統在運行過程中如果發生錯誤,則會在瀏覽器上顯示錯誤信息,在調試階段,這可以幫助系統開發人員查找錯誤产生的原因.但是,一旦系統正式投入使用,則不應該將出錯信息顯示在客戶的瀏覽器上,因為錯誤信息中含有大量敏感的系統信息,為黑客攻擊系統提供了便利,為此,可以利用php.ini中的display_errors選項關閉錯誤信息的顯示,比如:display_errors

關于PHP安全漏洞防范的畢業論文模板范文
系統類論文范文參考文獻
等于 Off.

(7)打開錯誤日志記錄功能

在關閉錯誤信息的顯示后,為了了解系統的運行情況,可以查看系統的錯誤日志.為了實現錯誤日志記錄功能,可以利用php.ini中的log_errors選項打開錯誤日志記錄功能,比如:log_errors 等于 On,同時利用error_log選項指定日志存放路徑和文件名,例如:error_log 等于 d:/logs/php/php_errors.log.


系統學術論文怎么寫
播放:21461次 評論:5952人

PHP安全漏洞防范參考屬性評定
有關論文范文主題研究: 關于系統的文章 大學生適用: 專升本論文、學士學位論文
相關參考文獻下載數量: 50 寫作解決問題: 如何寫
畢業論文開題報告: 文獻綜述、論文摘要 職稱論文適用: 刊物發表、職稱評初級
所屬大學生專業類別: 如何寫 論文題目推薦度: 優秀選題

4.結束語

PHP安全漏洞的产生原因主要是未對用戶的輸入進行嚴格驗證以及未對系統的輸出進行適當轉義(內置函數使用不當产生的安全漏洞其本質原因也在于此).正所謂“魔高一尺、道高一丈”,只要網站開發人員和網站管理人員提高安全意識,在開發和管理網站的過程中采取適當措施,大部分PHP安全漏洞還是不難防范的.

參考文獻

[1] 滕萍.云計算技術發展分析及其應用研究[J].信息網絡安全,2012,(11):89-91.

[2] 傅慧.動態包過濾防火墻規則優化研究[J].信息網絡安全,2012,(12):12-14.

[3] 孫志丹,鄒哲峰,劉鵬.基于云計算技術的信息安全試驗系統設計與實現[J].信息網絡安全,2012,(12):50-52.

作者簡介:

程茂華(1977-),男,安徽黃山人,碩士研究生;研究方向:網絡與信息安全.

基于單片機的溫濕度控制系統

用藥管理的信息化建設

我國快餐連鎖企業會計信息系統構建

智能控制小車常用傳感器實現

檔案管理的基礎工作與現代化探析

基于數據挖掘網絡診斷法的網絡圖書館建設

大學生安全防范論文
大學生安全防范論文2016年學,刑罰學,犯罪學,監所法律文書, 實戰技能,監獄安全防范技術,監獄突發事件應急處置等16門課程.,1.法理學基礎3學分,主要介紹法學,法律的一般知。

安全防范論文
大學生安全防范論文2016年學,刑罰學,犯罪學,監所法律文書, 實戰技能,監獄安全防范技術,監獄突發事件應急處置等16門課程.,1.法理學基礎3學分,主要介紹法學,法律的一般知。

計算機網絡安全與防范論文
全檢查,消除安全隱患.,本學期在班主。大學生安全防范論文成都學院測,全國高等學校日語專業四級,日語專業八級統測,全國計算機等級考試等.24計算機與網絡管理科員2專業技術負責機房設。

計算機網絡安全防范
于轉發《舉辦"建筑施工重大安全隱患及防治,重大安全事故防范,施工安全規范培訓班"》的通知,各有關單位,現將中國建筑施。計算機網絡課程設計論文安全編)錦州師范高等專科學校計算機系辦公。

計算機網絡安全與防范
談小學生安全教育的防范與處理用班會,晨會,法制教育專題報告會,強化安全衛生教育和管理.,3,制定切實可行的安全衛生應急預案,與班主會,家長,校車司機簽訂安全責任書,定期開展各類安。

計算機病毒防范論文
門民警,依約上門進行安全檢查,出。大學生安全防范論文2016年,思維能力,表達能力,外語和計算機應用能力,法律邏輯,計算機文化基礎,英語,寫作訓練專業監獄工作能力,監獄安全防范技。

企業法律風險防范論文
金嚴重不足3,4.1.2籌資成本較高,資本結構不合理,企業面臨財務風險3,4.1.3投資能力較弱,且缺乏科學。大學生安全防范論文2016年學,刑罰學,犯罪學,監所法律文書, 實戰技。

企業財務風險防范論文
財務報表分析與風險防范力的靜態指標,b,一般來說,資產負債率越高,企業的負債越安全,財務風險越小,c,資產負債率沒有考慮負債賾的償還期限d,資產負債率沒有考慮資產的結構e,在評。

財務風險的分析與防范論文
財務報表分析與風險防范2016年1月高等教育自學考試全國統一命題考試00161財務報表分析(一)試卷,一,單項選擇題(本大題共20小題,每小題1分,共20分)在每小題列出的四個。

PHP 電子商務
28山東體育學院 PHP090綿陽百食通網站,PHP091工程教育實踐過程,PHP092新疆旅游信息網,PHP093九州燈城商城綠色版,PHP094電子商務圖書銷售考研網上書。

PHP安全漏洞防范 Doc版本
波叔一波中特彩图网址