phpsql網站
① 我用的php+sql+apache集成環境,我能直接用IP訪問域名A解析但是發現有時候用域名不能訪問為什麼
Apache中通過配置http.conf綁定多個域名以及二級域名的方
Apache中通過配置http.conf綁定多個域名以及二級域名的方法
Apache是最流行的HTTP伺服器軟體之一,其以快速、可靠(穩定)而著稱,並且可通過簡單的API擴展,Perl/Python解釋器可被編譯到伺服器中,完全免費,並且源代碼全部開放。如果有自己的伺服器或者VPS,並且不想為了方便而購買昂貴的控制面板的話,那自己動手配置Apache就成了一門必修課了。下面簡單的介紹了如何通過設置Apache的http.conf文件,進行多個域名以及其相關的二級域名的綁定(假設我們要綁定的域名是minidx.com和ntt.cc,二級域名是blog.minidx.com,獨立IP為72.167.11.30).
apache怎麼綁定多個域名
打開http.conf
1,ServerName 127.0.0.1 修改成ServerName 72.167.11.30
2,#NameVirtualHost * 修改成"NameVirtualHost 72.167.11.30"
3,在文件最後面有虛擬主機格式,
#<VirtualHost *>
# ServerAdmin [email protected]
# DocumentRoot /www/httpd/html/minidx.com
# ServerName minidx.com
# ErrorLog logs/minidx.com-error_log
# CustomLog logs/minidx.com-access_log common
#</VirtualHost>
簡單的添加:
<VirtualHost 72.167.11.30>
DocumentRoot usr/local/www/
ServerName 72.167.11.30
</VirtualHost>
<VirtualHost 72.167.11.30>
DocumentRoot usr/local/www/minidx.com/
ServerName minidx.com
</VirtualHost>
<VirtualHost 72.167.11.30>
DocumentRoot usr/local/www/ntt.cc/
ServerName ntt.cc
</VirtualHost>
日誌文件的話也可以按照自己的路徑添加。
Apache如何添加二級域名
httpd.conf 中需要打開mod_rewrite功能(關於URL重定向的具體說明,可以參照.htaccess使用方法總結),具體操作就是,在httpd.conf 的最後,添加以下內容:
RewriteEngine on
RewriteMap lowercase int:tolower
RewriteMap vhost txt:/usr/local/etc/apache/vhost.map
RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$
RewriteCond ${vhost:%1} ^(/.*)$
RewriteRule ^/(.*)$ %1/$1
其中的 /usr/local/etc/apache 是你的 apache 伺服器配置文件所在路徑,根據實際情況更改(例如在/etc/httpd/下面)。然後,在這個所在路徑的目錄下創建一個文件: vhost.map,內容為:
www.minidx.com /usr/local/www/minidx.com
www.ntt.cc /usr/local/www/ntt.cc
blog.minidx.com /usr/local/www/minidx.com/blog
最後,在網站根目錄 /usr/local/www/下,創建對應目錄就可以了。如果需要增加,修改或者刪除域名,子域名,僅僅需要更改vhost.map文件,而不用重啟apache進程。
.htaccess使用方法總結
By Minidxer | January 26, 2008
在利用.htaccess的Rewrite規則實現Discuz論壇的偽靜態鏈接中已經提到過了.htaccess的重定向的使用,這里讓我們來比較全面的了解一下.htaccess吧。.htaccess是Apache伺服器的一個非常強大的分布式配置文件。正確的理解和使用.htaccess文件,可以幫助我們優化自己的伺服器或者虛擬主機。比如可以利用.htaccess文件創建自定義的「404 error」頁面,更改很多伺服器的配置。而我們所需要做的,僅僅是在這個文本文檔中添加幾條簡單的指令而已。
Unix或linux系統,或任何版本的Apache Web服務,都是支持.htaccess的,但是有的主機服務商可能不允許你自定義自己的.htaccess文件。國外目前主流的虛擬主機提供商,幾乎全部都支持自定義功能。
啟用.htaccess,需要修改httpd.conf,啟用AllowOverride,並可以用AllowOverride限制特定命令的使用
如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令來改變。例如,需要使用.config ,則可以在伺服器配置文件中按以下方法配置:
AccessFileName .config
籠統地來說,.htaccess可以幫我們實現包括:文件夾密碼保護、用戶自動重定向、自定義錯誤頁面、改變你的文件擴展名、封禁特定IP地址的用戶、只允許特定IP地址的用戶、禁止目錄列表,以及使用其他文件作為index文件等一些功能。
●創建一個.htaccess文檔
.htaccess是一個古怪的文件名(從Win的角度來說,它沒有文件名,只有一個由8個字母組成的擴展名,不過實際上它是linux下的命名,而很多linux下的東西,我們向來都會認為很古怪的),在Win系統中是不可以直接通過「新建」文件來創建的,不過我們可以利用cmd中的來實現,比如 sample.txt .htaccess。也可以先創建一個htaccess.txt,然後Ftp到伺服器,通過FTP來修改文件名。
●自定義錯誤頁
.htaccess的一個應用是自定義錯誤頁面,這將使你可以擁有自己的、個性化的錯誤頁面(例如找不到文件時),而不是你的服務商提供的錯誤頁或沒有任何頁面。這會讓你的網站在出錯的時候看上去更專業。你還可以利用腳本程序在發生錯誤的時候通知你(例如當找不到頁面的時候自動Email給你)。
你所知道的任何頁面錯誤代碼(像404找不到頁面),都可以通過在.htaccess文件里加入下面的文字將其變成自定義頁面:
ErrorDocument errornumber /file.html
舉例來說,如果我的根目錄下有一個notfound.html文件,我想使用它作為404 error的頁面:
ErrorDocument 404 /notfound.html
如果文件不在網站的根目錄下,你只需要把路徑設置為:
ErrorDocument 500 /errorpages/500.html
以下是一些最常用的錯誤:
401 - Authorization Required 需要驗證
400 - Bad request 錯誤請求
403 - Forbidden 禁止
500 - Internal Server Error 內部伺服器錯誤
404 - Wrong page 找不到頁面
接下來,你要做的只是創建一個錯誤發生時顯示的文件,然後把它們和.htaccess一起上傳。
●.htaccess命令
▼禁止顯示目錄列表
有些時候,由於某種原因,你的目錄里沒有index文件,這意味著當有人在瀏覽器地址欄鍵入了該目錄的路徑,該目錄下所有的文件都會顯示出來,這會給你的網站留下安全隱患。
為避免這種情況(而不必創建一堆的新index文件),你可以在你的.htaccess文檔中鍵入以下命令,用以阻止
目錄列表的顯示:
Options -Indexes
▼阻止/允許特定的IP地址
某些情況下,你可能只想允許某些特定IP的用戶可以訪問你的網站(例如:只允許使用特定ISP的用戶進入某個目錄),或者想封禁某些特定的IP地址(例如:將低級用戶隔離於你的信息版面外)。當然,這只在你知道你想攔截的IP地址時才有用,然而現在網上的大多數用戶都使用動態IP地址,所以這並不是限制使用的常用方法。
你可以使用以下命令封禁一個IP地址:
deny from 000.000.000.000
這里的000.000.000.000是被封禁的IP地址,如果你只指明了其中的幾個,則可以封禁整個網段的地址。如你輸入210.10.56.,則將封禁210.10.56.0~210.10.56.255的所有IP地址。
你可以使用以下命令允許一個IP地址訪問網站:
allow from 000.000.000.000
被允許的IP地址則為000.000.000.000,你可以象封禁IP地址一樣允許整個網段。
如果你想阻止所有人訪問該目錄,則可以使用:
deny from all
不過這並不影響腳本程序使用這個目錄下的文檔。
▼替換index文件
也許你不想一直使用index.htm或index.html作為目錄的索引文件。舉例來說,如果你的站點使用PHP文件,你可能會想使用 index.php來作為該目錄的索引文檔。當然也不必局限於「index」文檔,如果你願意,使用.htaccess你甚至能夠設置 foofoo.balh來作為你的索引文檔!
這些互為替換的索引文件可以排成一個列表,伺服器會從左至右進行尋找,檢查哪個文檔在真實的目錄中存在。如果一個也找不到,它將會把目錄列表顯示出來(除非你已經關閉了顯示目錄文件列表)。
DirectoryIndex index.php index.php3 messagebrd.pl index.html index.htm
▼重定向(rewrite)
.htaccess 最有用的功能之一就是將請求重定向到同站內或站外的不同文檔。這在你改變了一個文件名稱,但仍然想讓用戶用舊地址訪問到它時,變的極為有用。另一個應用(我發現的很有用的)是重定向到一個長URL,例如在我的時事通訊中,我可以使用一個很簡短的URL來指向我的會員鏈接。以下是一個重定向文件的例子:
Redirect /location/from/root/file.ext http: //minidx.com/new/file/location.xyz
上述例子中,訪問在root目錄下的名為oldfile.html可以鍵入:
/oldfile.html
訪問一個舊次級目錄中的文件可以鍵入:
/old/oldfile.html
你也可以使用.htaccess重定向整個網站的目錄。假如你的網站上有一個名為olddirectory的目錄,並且你已經在一個新網站http: //minidx.com/newdirectory/上建立了與上相同的文檔,你可以將舊目錄下所有的文件做一次重定向而不必一一聲明:
Redirect /olddirectory http: //minidx.com/newdirectory
這樣,任何指向到站點中/olddirectory目錄的請求都將被重新指向新的站點,包括附加的額外URL信息。例如有人鍵入:
http: //minidx.com/olddirecotry/oldfiles/images/image.gif
請求將被重定向到:
http: //minidx.com/newdirectory/oldfiles/images/image.gif
如果正確使用,此功能將極其強大。
註:由於Windows Live Writer編輯這篇文章的時候,遇到http:// 就會自動添加超級鏈接,所以上面都特意加了一個空格,而這原本是沒有的。
●密碼保護
盡管有各種各樣的.htaccess用法,但至今最流行的也可能是最有用的做法是將其用於網站目錄可靠的密碼保護。盡管JavaScript等也能做到,但只有.htaccess具有完美的安全性(即訪問者必須知曉密碼才可以訪問目錄,並且絕無「後門」可走)。
利用.htaccess將一個目錄加上密碼保護分兩個步驟。第一步是在你的.htaccess文檔里加上適當的幾行代碼,再將.htaccess文檔放進你要保護的目錄下:
AuthName 「Section Name」
AuthType Basic
AuthUserFile /full/path/to/.htpasswd
Require valid-user
你可能需要根據你的網站情況修改一下上述內容中的一些部分,如用被保護部分的名字」Members Area」,替換掉「Section Name」。
/full/parth/to/.htpasswd則應該替換為指向.htpasswd文件(後面詳述該文檔)的完整伺服器路徑。如果你不知道你網站空間的完整路徑,請詢問一下你的系統管理員。
密碼保護的.htpasswd文件
目錄的密碼保護比.htaccess的其他功能要麻煩些,因為你必須同時創建一個包含用戶名和密碼的文檔,用於訪問你的網站,相關信息(默認)位於一個名為.htpasswd的文檔里。像.htaccess一樣,.htpasswd也是一個沒有文件名且具有8位擴展名的文檔,可以放置在你網站里的任何地方(此時密碼應加密),但建議你將其保存在網站Web根目錄外,這樣通過網路就無法訪問到它了。
創建好.htpasswd文檔後(可以通過文字編輯器創建),下一步是輸入用於訪問網站的用戶名和密碼,應為:
username:password
「password」 的位置應該是加密過的密碼。你可以通過幾種方法來得到加密過的密碼:一是使用一個網上提供的permade腳本或自己寫一個;另一個很不錯的 username/password加密服務是通過KxS網站,這里允許你輸入用戶名及密碼,然後生成正確格式的密碼。對於多用戶,你只需要在.htpasswd文檔中新增同樣格式的一行即可。另外還有一些免費的腳本程序可以方便地管理.htpasswd文檔,可以自動新增/移除用戶等。
當你試圖訪問被.htaccess密碼保護的目錄時,你的瀏覽器會彈出標準的username/password對話窗口。如果你不喜歡這種方式,有些腳本程序可以允許你在頁面內嵌入username/password輸入框來進行認證,你也可以在瀏覽器的URL框內以以下方式輸入用戶名和密碼(未加密的):
http://username:[email protected]/directory/
比較常用的基本上就是這些了,如果想更加具體的了解.htaccess的使用,那可以參照Appache的doc中相關的文檔。
② PHP網站怎麼sql注入有沒有破解防禦的方法
網站的運行安全肯定是每個站長必須考慮的問題,大家知道,大多數黑客攻擊網站都是採用sql注入,這就是我們常說的為什麼最原始的靜態的網站反而是最安全的。 今天我們講講PHP注入的安全規范,防止自己的網站被sql注入。
如今主流的網站開發語言還是php,那我們就從php網站如何防止sql注入開始說起:
Php注入的安全防範通過上面的過程,我們可以了解到php注入的原理和手法,當然我們也同樣可以制定出相應該的防範方法:
首先是對伺服器的安全設置,這里主要是php+mysql的安全設置和linux主機的安全設置。對php+mysql注射的防範,首先將magic_quotes_gpc設置為On,display_errors設置為Off,如果id型,我們利用intval()將其轉換成整數類型,如代碼:
$id=intval($id);
mysql_query=」select *from example where articieid=』$id』」;或者這樣寫:mysql_query(」SELECT * FROM article WHERE articleid=」.intval($id).」")
如果是字元型就用addslashes()過濾一下,然後再過濾」%」和」_」如:
$search=addslashes($search);
$search=str_replace(「_」,」\_」,$search);
$search=str_replace(「%」,」\%」,$search);
當然也可以加php通用防注入代碼:
/*************************
PHP通用防注入安全代碼
說明:
判斷傳遞的變數中是否含有非法字元
如$_POST、$_GET
功能:
防注入
**************************/
//要過濾的非法字元
$ArrFiltrate=array(」『」,」;」,」union」);
//出錯後要跳轉的url,不填則默認前一頁
$StrGoUrl=」";
//是否存在數組中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}
//合並$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}
//驗證開始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo 「alert(/」Neeao提示,非法字元/」);」;
if (empty($StrGoUrl)){
echo 「history.go(-1);」;
}else{
echo 「window.location=/」".$StrGoUrl.」/」;」;
}
exit;
}
}
?>
/*************************
保存為checkpostandget.php
然後在每個php文件前加include(「checkpostandget.php「);即可
**************************/
另外將管理員用戶名和密碼都採取md5加密,這樣就能有效地防止了php的注入。
還有伺服器和mysql也要加強一些安全防範。
對於linux伺服器的安全設置:
加密口令,使用「/usr/sbin/authconfig」工具打開密碼的shadow功能,對password進行加密。
禁止訪問重要文件,進入linux命令界面,在提示符下輸入:
#chmod 600 /etc/inetd.conf //改變文件屬性為600
#chattr +I /etc/inetd.conf //保證文件屬主為root
#chattr –I /etc/inetd.conf // 對該文件的改變做限制
禁止任何用戶通過su命令改變為root用戶
在su配置文件即/etc/pam.d/目錄下的開頭添加下面兩行:
Auth sufficient /lib/security/pam_rootok.so debug
Auth required /lib/security/pam_whell.so group=wheel
刪除所有的特殊帳戶
#userdel lp等等 刪除用戶
#groupdel lp等等 刪除組
禁止不使用的suid/sgid程序
#find / -type f \(-perm -04000 - o –perm -02000 \) \-execls –lg {} \;
③ 詳解php語法:mysql_connect()方法 其中這個參數中的server,user,pwd應該怎樣填寫。
mysql_connect()的語法是這樣的:
mysql_connect("主機名","資料庫用戶名","資料庫密碼");
首先,你是在本地測試的,那麼主機名你可以用localhost,也可以用127.0.0.1。
其次,既然你在安裝mysql時設置了用戶名為root,那麼,資料庫用戶名一項就可以填寫root。
其三,資料庫密碼是你的mysql名戶名為root的用戶的密碼。
根據你給出的信息,正確的連接應該是:
mysql_connect("localhost","root","資料庫密碼");
④ PHP空間上傳網站源碼後但是MySQL資料庫不能用怎麼解決
sql文件是創建好數據表,並把數據表導出來的數據表文件。此方法是方便於不用再手動的去創建數據表,只要通過導入的方法就能馬上創建好數據表。你雖然設置的了資料庫配置文件,但是資料庫里沒有創建有數據表,所以,你的網站也打不開。
如何利用sql文件創建數據表
操作資料庫一般都是用phpmyadmin系統,可以去詢問你的空間商phpmyadmin的地址,然後登錄進去
這樣,數據表就自動創建好了。
⑤ PHP代碼網站如何防範SQL注入漏洞攻擊建議分享
做為網路開發者的你對這種黑客行為恨之腔銀悶入骨,當然也有必要了解一下SQL注入這種功能方式的原理並學會如何通過代碼來保護自己的網站資料庫。今天就通過PHP和MySQL資料庫為例,分享一下我所了解的SQL注入攻擊和一些簡單的防範措施和一些如何避免SQL注入攻擊的建議。
簡單來說,SQL注入是使用代碼漏洞來獲取網站或應用程序後台的SQL資料庫中的數據,進而可以取得資料庫的訪問許可權。比如,黑客可以利用網站代碼的漏洞,使用SQL注入的方式取得一個公司網站後台資料庫里所有的數據信息。拿到資料庫管理員登錄用戶名和密碼後黑客可以自由修改資料庫中的內容甚至刪除該資料庫。SQL注入也可以用來檢驗一個網站或應用的安全性。SQL注入的方式有很多種,但本文將只討論最基本的原理,我們將以PHP和MySQL為例。本文的例子很簡單,如果你使用其它語言理解起來也不會有難度,重點關注SQL命令即可。
一個簡單的SQL注入攻擊案例
假如我們有一個公司網站,在網站的後台資料庫中保存了所有的客戶數據等重要信息。假如網站登錄頁面的代碼中有這樣一條命令來讀取用戶信息。
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .$_GET['username']. " ' AND `password`= ' " .$_GET['password']. " ' ";?>現在有一個黑客想攻擊你的資料庫,他會嘗試在此登錄頁面的用戶名的輸入框中輸入以下代碼:
' ; SHOW TABLES;
點擊登陸鍵,這個頁面就會顯示出資料庫中的所有表。如果他現在使用下面這行命令:
'; DROP TABLE [table name];
這樣他就把一張表刪除了!
防範SQL注入 - 使用mysql_real_escape_string()函數
在資料庫操作的代碼中用這個函數mysql_real_escape_string()可以將代碼中伍彎特殊字元過濾掉,如引號等。如下例:
$q = "SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ";?>防範SQL注入 - 使用mysql_query()函數
mysql_query()的特別是它將只執行SQL代碼的第一條,而後面的並不會執行。回想在最前面的例子中,黑客通過代碼來例後台執行了多條SQL命令,顯示出了所有表的名稱。所以mysql_query()函數可以取到進一步保護的作用。我們進一步演化剛才的代碼就得到了下面的代碼:
//connection
$database = mysql_connect("localhost", "username","password");
//db selection
$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ", $database);?>除此之外,我們還可以在PHP代碼中判斷輸入值的長度,或者專門用一個函數來檢查輸入的值。所以在接受用戶輸入值的地方一定要做好輸入內容的過濾和檢查。當然學習和了解最新的SQL注入方式也非常重要,這樣才能做到有目的的防範。如果使用的是平台式的網站系統如Wordpress,要注意及時搏御打上官方的補丁或升級到新的版本。
⑥ 急急急!php網站 被發現有SQL注入漏洞,還有PHP-CGI遠程任意代碼執行漏洞,這怎麼修改需要時間長不長
現在一般框架都防止sql注入了啊
⑦ 在電商網站開發中有哪些常見漏洞
一、常見PHP網站安全漏洞
對於PHP的漏洞,目前常見的漏洞有五種。分別是Session文件漏洞、SQL注入漏洞、腳本命令執行漏洞、全局變數漏洞和文件漏洞。這里分別對這些漏洞進行簡要的介紹。
1、session文件漏洞
Session攻擊是黑客最常用到的攻擊手段之一。當一個用戶訪問某一個網站時,為了免客戶每進人一個頁面都要輸人賬號和密碼,PHP設置了Session和Cookie用於方便用戶的使用和訪向。
2、SQL注入漏洞
在進行網站開發的時候,程序員由於對用戶輸人數據缺乏全面判斷或者過濾不嚴導致伺服器執行一些惡意信息,比如用戶信息查詢等。黑客可以根據惡意程序返回的結果獲取相應的信息。這就是月行胃的SQL注入漏洞。
3、腳本執行漏洞
腳本執行漏洞常見的原因是由於程序員在開發網站時對用戶提交的URL參數過濾較少引起的,用戶提交的URL可能包含惡意代碼導致跨站腳本攻擊。腳本執行漏洞在以前的PHP網站中經常存在,但是隨著PHP版本的升級,這些間題已經減少或者不存在了。
4、全局變數漏洞
PHP中的變數在使用的時候不像其他開發語言那樣需要事先聲明,PHP中的變數可以不經聲明就直接使用,使用的時候系統自動創建,而且也不需要對變 量類型進行說明,系統會自動根據上下文環境自動確定變數類型。這種方式可以大大減少程序員編程中出錯的概率,使用起來非常的方便。
5、文件漏洞
文件漏洞通常是由於網站開發者在進行網站設計時對外部提供的數據缺乏充分的過濾導致黑客利用其中的告攜漏洞在Web進程上執襪敏伏行相應的命令。
二、PHP常見漏洞的防範措施
1、對於Session漏洞的防範
從前面的分析可以知道,Session攻擊最常見的就是會話劫持,也就是黑客通過各種攻擊手段獲取用戶的Session ID,然後利用被攻擊用戶的身份來登錄相應網站。為此,這里可以用以下幾種方法進行防範:一是定期更換Session ID,更換Session ID可以用PHP自帶函數來實現;二是更拿桐換Session名稱,通常情況下Session的默認名稱是PHPSESSID,這個變數一般是在cookie中保存的,如果更改了它的名稱,就可以阻檔黑客的部分攻擊;三是對透明化的Session ID進行關閉處理,所謂透明化也就是指在http請求沒有使用cookies來制定Session id時,Sessioin id使用鏈接來傳遞.關閉透明化Session ID可以通過操作PHP.ini文件來實現;四是通過URL傳遞隱藏參數,這樣可以確保即使黑客獲取了session數據,但是由於相關參數是隱藏的,它也很難獲得Session ID變數值。
2、對SQL注入漏洞的防範
黑客進行SQL注入手段很多,而且靈活多變,但是SQL注人的共同點就是利用輸入過濾漏洞。因此,要想從根本上防止SQL注入,根本解決措施就是加強對請求命令尤其是查詢請求命令的過濾。具體來說,包括以下幾點:一是把過濾性語句進行參數化處理,也就是通過參數化語句實現用戶信息的輸入而不是直接把用戶輸入嵌入到語句中。二是在網站開發的時候盡可能少用解釋性程序,黑客經常通過這種手段來執行非法命令;三是在網站開發時盡可能避免網站出現bug,否則黑客可能利用這些信息來攻擊網站;僅僅通過防禦SQL注入還是不夠的,另外還要經常使用專業的漏洞掃描工具對網站進行漏洞掃描。
3、對腳本執行漏洞的防範
黑客利用腳本執行漏洞進行攻擊的手段是多種多樣的,而且是靈活多變的,對此,必須要採用多種防範方法綜合的手段,才能有效防止黑客對腳本執行漏洞進行攻擊。這里常用的方法方法有以下四種。一是對可執行文件的路徑進行預先設定。
4、對全局變數漏洞防範
對於PHP全局變數的漏洞問題,以前的PHP版本存在這樣的問題,但是隨著PHP版本升級到5.5以後,可以通過對php.ini的設置來實現,設置ruquest_order為GPC。另外在php.ini配置文件中,可以通過對Magic_quotes_runtime進行布爾值設置是否對外部引人的數據中的溢出字元加反斜線。為了確保網站程序在伺服器的任何設置狀態下都能運行。
5、對文件漏洞的防範
對於PHP文件漏桐可以通過對伺服器進行設置和配置來達到防範目的。這里具體的操作如下:一是把PHP代碼中的錯誤提示關閉,這樣可以避免黑客通過錯誤提示獲取資料庫信息和網頁文件物理路徑;二是對open_basedir盡心設置,也就是對目錄外的文件操作進行禁止處理;這樣可以對本地文件或者遠程文件起到保護作用,防止它們被攻擊,這里還要注意防範Session文件和上載文件的攻擊;三是把safe-made設置為開啟狀態,從而對將要執行的命令進行規范,通過禁止文件上傳,可以有效的提高PHP網站的安全系數。
⑧ php+mysql與。net+sql 那個建網站更好
當然PHP+MYSQL,全球至少百分之八十的網站都用PHP+MYSQL代碼開發的哈!