本文目录一览:
php是否有安全问题,如果有,请列举说明
当然有安全问题。
PHP的语法结构与C、Prel 非常相似,开发者可以直接在任何文本编辑器中编辑 PHP 命令代码,不需要任何特殊的开发环境。在 Web 页面中,所有 PHP 代码都被放置在 “?php” 和 “?”之间。PHP 存在着它自身独有的一些安全问题。
比如:全局变量未初始化漏洞
PHP中的全局变量是不需要预先声明的,他们会在第一次使用时自动创建,由 PHP 根据上下文环境自动确定变量的类型。这对于程序员而言是相当方便的,只要一个变量被创建,就可以在程序中的任何地方使用。,但也导致在 PHP 程序的编写过程中,程序员很少初始化变量,通常都直接使用创建默认的空值。这使得攻击者可以通过给全局变量赋值来欺骗代码,执行恶意的目的。
php漏洞问题
session fixation 即他人用已知的sid让你登录,然后他也可以登录并操作你的帐号
几种手段避免吧
1、不要在post和get方法发送sid,改在cookie中
2、对访问请求要进行ip确认,不同ip要重新生成sid。
3、重要数据操作时使用加密SSL传输。
4、用户浏览器或者登出后,以及任何变动时,要及时换sid
5、设定不活跃操作的session超时,超时后就重生成sid,降低盗用的可能。
PHP漏洞有哪些
首先和ASP一样,对敏感字符过滤不严会导致注入..
还有PHP很有特点,他得运行程序是很人性化得,如果设置不好,随便提交个有错得地址之类就会告诉你绝对路径之类得敏感信息.
PHP包含过滤不严会导致读取任意文件.
变量过滤不严会导致伪造数据欺骗服务器.
等等等等好多..我说得这些都是比较常见和常用得