摘要：網(wǎng)絡(luò)具有開(kāi)放性和共享性的特點(diǎn)，在給人們的生活帶來(lái)便利的同時(shí)，也對(duì)網(wǎng)絡(luò)用戶的信息安全帶來(lái)了威脅。本文研究了在PHP網(wǎng)站開(kāi)發(fā)過(guò)程中信息安全防御技術(shù)，列舉在PHP網(wǎng)站開(kāi)發(fā)時(shí)容易出現(xiàn)的安全漏洞以及這些漏洞帶來(lái)的危害，同時(shí)還介紹了黑客常用的攻擊手段并給出相應(yīng)的解決方案。

關(guān)鍵詞：安全防御；PHP；網(wǎng)站

0引言

當(dāng)前網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)已成為對(duì)各國(guó)的國(guó)家安全、政治穩(wěn)定、經(jīng)濟(jì)發(fā)展、社會(huì)生活、健康文化等方方面面具有生存性和保障性支撐作用的關(guān)鍵產(chǎn)業(yè)。網(wǎng)絡(luò)與信息安全可能會(huì)影響個(gè)人的工作、生活，甚至?xí)绊憞?guó)家經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)防安全。因此，網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)在整個(gè)產(chǎn)業(yè)布局乃至國(guó)家戰(zhàn)略格局中具有舉足輕重的地位和作用。本文對(duì)PHP網(wǎng)站設(shè)計(jì)中信息安全防御的研究具有重要的意義。

1PHP編碼過(guò)程中的安全問(wèn)題及其防范

服務(wù)器和PHP的運(yùn)行環(huán)境配置好后，并不意味著網(wǎng)絡(luò)應(yīng)用就安全了，程序員的安全意識(shí)也起著決定性的作用。如果程序員的安全意識(shí)不高，對(duì)用戶的所有輸入都沒(méi)有進(jìn)行安全驗(yàn)證，那么，所有有害的指令都將作為合法指令被執(zhí)行。

1.1SQL注入的防范

程序員在編寫代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使得用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

1）經(jīng)典的'or 1=1' 注入

‘or 1=1’注入是非常經(jīng)典的注入語(yǔ)句，一般用在登錄系統(tǒng)時(shí)繞過(guò)密碼驗(yàn)證，以任意用戶名登入。其原理是利用程序員在編寫驗(yàn)證程序的時(shí)候沒(méi)有驗(yàn)證用戶的輸入是否含有非預(yù)期的字符串，直接傳遞給mysql_query()函數(shù)執(zhí)行，or 1=1使得無(wú)論密碼是否匹配保證驗(yàn)證語(yǔ)句為真，達(dá)到繞過(guò)密碼驗(yàn)證的目的

2）利用union語(yǔ)句的注入

Union 語(yǔ)句是利用其特性，使程序默認(rèn)的語(yǔ)句出錯(cuò)，讓程序執(zhí)行union之后自己構(gòu)造的SQL語(yǔ)句，達(dá)到注入的目的。

3）防SQL注入的通用解決方案

注入的手段是多種多樣，十分靈活的，但有一個(gè)共同點(diǎn)，都是利用沒(méi)有對(duì)輸入進(jìn)行過(guò)濾。防止注入的方法也就是對(duì)傳遞給查詢語(yǔ)句的參數(shù)進(jìn)行過(guò)濾。

該函數(shù)是通過(guò)正則表達(dá)式匹配常用的注入語(yǔ)句，并對(duì)其進(jìn)行過(guò)濾。采用該過(guò)濾函數(shù)后，使用上述方法再次進(jìn)行注入時(shí)，全部失效。

1.2XSS跨站攻擊

XSS 全稱為Cross Site Scripting，由于 CSS 已經(jīng)用作樣式表的簡(jiǎn)稱，故稱為XSS。 XSS是一種常見(jiàn)的網(wǎng)站攻擊的手段。其原理與SQL注入比較類似，只不過(guò)利用的HTML標(biāo)簽中注入JavaScript腳本，通過(guò)在網(wǎng)頁(yè)的輸入框輸入一些惡意的內(nèi)容，通常是 JavaScript 腳本片段達(dá)到注入的目的，這些惡意輸入在提交之后并重新讀回到客戶端時(shí)，瀏覽器會(huì)解釋執(zhí)行這些惡意的腳本內(nèi)容，從而影響網(wǎng)頁(yè)的正常顯示。

1）XSS探測(cè)

在判斷一個(gè)網(wǎng)站是否存在XSS漏洞是，經(jīng)常用到下面這條語(yǔ)句進(jìn)行探測(cè)：

在輸入框中輸入該語(yǔ)句找到該語(yǔ)句執(zhí)行的地方看是否有彈窗，如果有，則表示這個(gè)網(wǎng)站存在XSS漏洞，這里以留言本為例。

登入留言頁(yè)面，在輸入框內(nèi)輸入檢測(cè)代碼，刷新頁(yè)面，發(fā)現(xiàn)瀏覽器彈出窗口，表明該留言板存在著XSS漏洞。

2）利用XSS重定向

一旦確定網(wǎng)站存在XSS漏洞，那么攻擊手段就有很多種，將當(dāng)前網(wǎng)頁(yè)重定向到其他網(wǎng)頁(yè)是一種比較直接的方法，黑客可以利用這種手法達(dá)到刷網(wǎng)站流量，或者在轉(zhuǎn)向的網(wǎng)站上掛上木馬，使訪問(wèn)者電腦感染木馬病毒的目的，攻擊代碼如下：

將http://evil.org替換成想要轉(zhuǎn)向的網(wǎng)址就達(dá)到注入的目的了。

3）利用XSS彈出其他網(wǎng)頁(yè)

平時(shí)在瀏覽有些網(wǎng)站的時(shí)候經(jīng)常會(huì)出現(xiàn)彈出廣告的情況，黑客也會(huì)可以利用XSS攻擊使正在瀏覽被攻擊頁(yè)面的用戶瀏覽器彈出窗口，這樣又可以利用彈窗來(lái)達(dá)到掛馬的目的了。攻擊代碼如下：

該段代碼是讓瀏覽器彈出一個(gè)窗口并打開(kāi)百度首頁(yè)，把百度的網(wǎng)址換成掛馬的網(wǎng)頁(yè)，黑客的攻擊目的就達(dá)到了。

4）利用＜iframe＞標(biāo)簽進(jìn)行XSS攻擊

＜iframe＞是一個(gè)非常常用的HTML標(biāo)簽，他的功能是在網(wǎng)頁(yè)中嵌入其他網(wǎng)頁(yè)，可 以通過(guò)height屬性和src指定嵌入頁(yè)面的高度和地址。黑客可以將高度設(shè)為0，將頁(yè)面地址設(shè)置為被掛馬的網(wǎng)頁(yè)，或者利用cookie的同源特性竊取cookie。

攻擊代碼如下：

2安全防御常用方法

2.1平衡風(fēng)險(xiǎn)與可用性

盡量使安全措施對(duì)用戶透明，使他們感受不到它的存在。如果實(shí)在不可能，就盡量采用用戶比較常見(jiàn)和熟悉的方式來(lái)進(jìn)行。例如，在用戶訪問(wèn)受控信息或服務(wù)前讓他們輸入用戶名和密碼就是一種比較好的方式。

2.2跟蹤數(shù)據(jù)

作為一個(gè)有安全意識(shí)的開(kāi)發(fā)者，最重要的一件事就是隨時(shí)跟蹤數(shù)據(jù)。不只是要知道它是什么和它在哪里，還要知道它從哪里來(lái)，要到哪里去。有時(shí)候要做到這些是困難的，特別是當(dāng)你對(duì)WEB的運(yùn)做原理沒(méi)有深入理解時(shí)。這也就是為什么盡管有些開(kāi)發(fā)者在其它開(kāi)發(fā)環(huán)境中很有經(jīng)驗(yàn)，但他對(duì)WEB不是很有經(jīng)驗(yàn)時(shí)，經(jīng)常會(huì)犯錯(cuò)并制造安全漏洞。

2.3過(guò)濾輸入

過(guò)濾是Web應(yīng)用安全的基礎(chǔ)。它是你驗(yàn)證數(shù)據(jù)合法性的過(guò)程。通過(guò)在輸入時(shí)確認(rèn)對(duì)所有的數(shù)據(jù)進(jìn)行過(guò)濾，你可以避免被污染（未過(guò)濾）數(shù)據(jù)在你的程序中被誤信及誤用。大多數(shù)流行的PHP應(yīng)用的漏洞最終都是因?yàn)闆](méi)有對(duì)輸入進(jìn)行恰當(dāng)過(guò)濾造成的。

3小結(jié)

本文主要研究了在PHP網(wǎng)站代碼編寫過(guò)程中應(yīng)該注意的一些與安全相關(guān)的要點(diǎn)以及一些應(yīng)該遵守的方法，掌握了這些方法，對(duì)PHP網(wǎng)站安全有很大的好處，希望對(duì)同行能有一定的參考作用。

[1] Stuttard.D，Pinto.M，石華耀譯.黑客攻防技術(shù)寶典[M].北京: 人民郵電出版社，2009.

[2] 周緋菲，何文.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)教程.北京: 郵電大學(xué)出版社，2009.

[3] Stuart McClure，Joel Scambray，George Kurtz，鐘向群譯.黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案[M].北京: 清華大學(xué)出版社， 2010.

[4] 溫施耐德.PHP和MySQL Web應(yīng)用開(kāi)發(fā)核心技術(shù).北京: 機(jī)械工業(yè)出版社， 2006.

[5] Chris Shiflett. Essential PHP Security. O'Reilly Media， 2005.