關于PHP的網站設計論文

時間:2022-09-05 05:38:01

導語:關于PHP的網站設計論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

關于PHP的網站設計論文

1php網站編碼過程中存在的問題

1.1防范sql的注入

一般來說,網站設計的程序員在進行編寫代碼使需要對用戶輸入數據的合法性進行判斷,防止信息輕易被泄露,但是如果程序員在網站設計時沒有進行這項操作的話,用戶就可以通過提交數據庫查詢代碼的方式。根據程序返回的結果獲得用戶想知道的數據信息資料,這就是所謂的sql注入。Spl的注入很容易就可以使信息被泄露,因此,網站的程序員一定要對用于輸入的數據進行合法性判斷,對信息安全進行防御保護。

1.2or1=1以及union語句的注入

‘or1=1’注入是指在登錄某系統時可以繞過密碼驗證,利用任意用戶名登入系統內的侵入方式,它是網絡應用中非常經典的注入語句。這種注入方式是利用程序員在編寫驗證程序的時候,沒有驗證用戶的輸入是否含有非預期的字符串,直接傳遞給計算機函數執行用戶的操作請求,這種語句注入方式可以讓密碼匹配與否變得不再重要,而是直接繞過密碼驗證進入系統,輕易地獲取用戶資料與信息。與or1=1注入語句不同的是,union可以通過該語句的特殊性讓程序原本默認的語句出錯,通過讓程序執行union之后自己構造的sql語句來達到語句注入的目的,并直接侵入程序內部。

1.3xss跨站攻擊

xss是一種常見的網站攻擊的手段。xss的工作原理與sql注入相差不大,只是xss是通過將javascript腳本注入到html標簽中的方式,刻意的將惡意內容輸入到網頁輸入框內,當這些惡意的輸入內容重新讀回到網站客戶端時,瀏覽器會自動解釋并執行這些惡意的腳本內容,通過影響網頁的正常顯示從而達到腳本片段注入的目的。

1.3.1xss探測

在判斷一個網站是否存在xss漏洞是,通常需要輸入探測語句進行網站漏洞監檢測,首先要輸入檢測語句,然后找到該語句執行的地方,如果該地方有彈出窗口就意味著這個網站存在xss漏洞。如果確定該網站存在信息安全漏洞,黑客就會有很多種攻擊手法侵入計算機網絡內部,他們可以通過將當前的網頁重定向到其他的網頁中去的方式達到刷網站流量的目的,除此之外,黑客還可以通過在專享網站上掛上木馬程序的手段,給網站種下病毒,一旦有不知情的用戶進入該網站,他們的電腦就會自動感染上木馬病毒。

1.3.2xss的利用

XSS是在web應用中經常出現的計算機安全漏洞,它通過將代碼植入網頁的方式利用XSS漏洞控制計算機。這種類型的安全漏洞也常常被黑客利用來編寫惡意的程序。我們在有些網站進行瀏覽的時候,經常會出現有廣告彈出的現象,黑客可以利用xss攻擊頁面,使那些正在瀏覽該網站信息的計算機用戶自動彈出窗口,并且利用這種彈窗在頁面掛上木馬病毒,讓網頁用戶無辜感染木馬病毒,以此來獲得用戶信息。1.3.3利用‘iframe’標簽進行xss攻擊iframe的主要功能是在網頁中嵌入其他網頁是一個很常用的html標簽,它可以通過height屬性和src指定所嵌頁面的具體信息。可以將頁面地址設置為被掛馬的網頁進行cookie數據的竊取。

2安全防御常用方法

2.1安全措施對用戶透明

進行網站的信息安全保護時要盡量做到安全措施對用戶透明,讓用戶很難清除安全保護措施的應用。如果這種方法難以操作可以采用較為常見的信息安全防御措施。最直接的方式就是在用戶訪問受控信息或服務之前,讓他們輸入用戶名和密碼,這也是一種比較好的常用的信息安全保護措施。

2.2對數據進行隨時跟蹤

任何一個有責任意識的網絡程序開發者,都會對數據進行隨時的跟蹤。通過對數據信息的動向進行跟蹤觀測防止出現信息安全問題。數據信息的時時跟蹤其實是一種比較有難度的信息監測手段,特別是一些開發者對該運用原理不夠了解的情況下,進行尤其是當你對web的運做原理沒有進行深入理解時。一些開發者雖然對網站的開發環境很有經驗,但是對web不是很有經驗的時候,就會在程序開發中犯錯并制造安全漏洞。

2.3對輸入信息進行過濾

對輸入的信息進行過濾的方法是保證網絡信息安全的重要條件,也是驗證輸入的數據合法性的過程。通過對用戶輸入信息的確認對數據進行過濾。這種信息過濾的方式可以避免一些病毒在未知的情況下被誤用。目前大多數常用的php應用都存在缺少數據過濾引起信息安全漏洞。

2.4如何防止sql的注入

雖然網絡系統的注入的手段很豐富,但這些注入方式都有一個共同點,就是它們都是利用程序沒有信息過濾這一弱點。因此,如果要防止非法注入,也就需要對查詢語句進行過濾,一般來說,計算機程序的函數是通過正則表達式進行常用語句匹配并對這些語句進行過濾。因此,只要采用了過濾之后的函數,利用注入的方式侵入系統的話都會是失敗的。

3結束語

本文通過對網站設計中常見的幾種信息安全漏洞進行分析,并提出了幾種解決這些安全漏洞的防御措施,在一定程度上有利于信息的維護。

作者:王堯單位:江蘇理工學院計算機工程學院