賽邦軟件 網絡營銷一站式服務品牌
專業網站建設,400電話,手機網站,微網站建設,商城建設,企業營銷型網站

您當前位置:賽邦軟件 >>

你的網站安全嗎?

發布時間:2017-04-24 17:47:51

賽邦軟件本著為網絡安全出一份力的本意分享php建站時的php安全代碼。多年來,php一直是一個穩定的、廉價的運行基于web應用程序的平臺。像大多數基于web的平臺一樣,php也是容易受到外部攻擊的。


    頭文件

  多數情況下,開發人員可以將分布在應用程序的幾個腳本包含進一個腳本里。這些腳本將包含一個“include”指令,集成單個文件到原始頁面的代碼里。當“include”文件包含敏感信息,包括用戶名、密碼和數據庫訪問密鑰時,該文件的擴展名應該命名成“.php ",而不是典型的“.inc”擴展?!?php”擴展確保php引擎將處理該文件,并防止任何未經授權的訪問。

  MD5 vs. SHA

  在某些情況下,用戶最終會創建自己的用戶名和密碼,而站點管理員通常會對表單提交的密碼加密,并保存在數據庫中。在過去的幾年中,開發人員會使用MD5(消息摘要算法)函數,加密成一個128位的字符串密碼。今天,很多開發人員使用SHA-1(安全散列算法)函數來創建一個160位的字符串。


  管理安裝腳本

  如果開發人員已經安裝了一套第三方應用程序的PHP腳本,該腳本用于安裝整個應用程序的工作組件,并提供一個接入點。大多數第三方軟件包都建議在安裝后,刪除該目錄包含的安裝腳本。但開發人員希望保留安裝腳本,他們可以創建一個.htaccess文件來控制管理訪問目錄。

    任何未經授權的用戶,如果試圖訪問一個受保護的目錄,將會看到一個提示,要求輸入用戶名和密碼。密碼必須匹配指定的“passwords”文件中的密碼。

  AuthType Basic

  AuthName “Administrators Only”

  AuthUserFile /usr/local/apache/passwd/passwords

  Require valid-user

  

    關于初始化變量和值

  許多開發人員都落入了實例化變量不賦值的陷阱,原因可能由于時間的限制而分心,或缺乏努力。身份驗證過程中的變量,應該在用戶登錄程序開始前就有值。這個簡單的步驟可以防止用戶繞過驗證程序或訪問站點中某些他們沒有權限的區域。


  關于自動全局變量

  php.ini文件中包含的設置稱為“register_globals”。P服務器會根據register_globals的設置,將會為服務器變量和查詢字符串自動創建全局變量。在安裝第三方的軟件包時,比如內容管理軟件,像Joomla和Drupal,安裝腳本將引導用戶把register_globals設置為“關閉”。將設置改變為“關閉”可以確保未經授權的用戶無法通過猜測變量名稱及驗證密碼來訪問數據。

  

    希望賽邦的分享對大家有所幫助,感謝君的閱覽!


?
營銷型網站建設       |       手機網站       |       手機APP       |       微信平臺定制開發
    賽邦軟件科技有限公司 備案號豫ICP備15024232號-1
    Copyright 2015,ALL Rights Reserved
梦幻西游现在好赚钱不 河南481豹子历史遗漏 必赢客北京pk 手机版 双色球怎样投注更容易中奖?? 河北排列7玩法介绍 财惠赚配资 甘肃新11选5前3直选 澳门哪个赌场最正规 黑龙江11选五前三组 南方双彩网3d预测最准最新 指南针炒股软件下载