歡迎光臨
我們一直在努力

PHP 安全

#Web 滲透與漏洞研究

今天分享一篇關於PHP安全上的一些注意事項,文內提到了SQL Injection、XSS、CSRF及檔案上傳文件類型等,這些都是駭客時常利用的攻擊點,一起來看看怎麼防範吧。
原文出處:http://www.freebuf.com/articles/web/38383.html

波波觀點:PHP 安全要從輸入、狀態與檔案處理看

PHP 仍是許多網站和 WordPress 外掛的核心技術,常見風險包含 SQL Injection、XSS、CSRF、檔案上傳、反序列化、Session 管理與錯誤設定。學 PHP 安全時,不要只背漏洞名稱,而要理解資料如何從使用者輸入進入資料庫、模板、檔案系統與後端命令。

優先檢查項目

  • 資料庫查詢是否使用 prepared statement,避免字串拼接 SQL。
  • 輸出到 HTML、屬性、JavaScript、URL 時是否做正確 escaping。
  • 表單、管理動作與敏感 API 是否有 CSRF token 與權限檢查。
  • 檔案上傳是否限制副檔名、MIME、大小、儲存路徑與執行權限。
  • 正式環境是否關閉 debug、錯誤顯示與不必要的 phpinfo。

實務建議

對 WordPress 站台而言,外掛與佈景主題是 PHP 安全的主要風險來源。除了定期更新,也應移除不用的外掛、限制後台登入、關閉 XML-RPC、做好備份,並在 Cloudflare、Nginx 與 PHP-FPM 層面降低可被濫用的入口。

站內延伸閱讀

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » PHP 安全

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站