目前ASP,.NET,PHP,JSP是最广泛应用于网站建设的编程语言,其中PHP因为不受平台的限制,可以应用于UNIX或是WIN的平台,而且开发快速,性能好,实际应用起来方便,成为目前主流的网站开发编程语言,所以也出现了大量的针对php开发语言的安全漏洞值得我们注意。
session文件漏洞
PHP为了方便用户访问,避免每一个客户进入一个页面的时候都要输入账号和密码设置了Session和Cookie,也因此Session成了很多黑客攻击的一种方式。
SQL注入漏洞
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐。在进行网站开发的时候,程序员由于对用户输人数据缺乏全面判断失误,很容易导致服务器执行一些恶意信息,是应用程序存在安全隐患。
脚本执行漏洞
脚本执行漏洞常见的原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的,用户提交的URL可能包含恶意代码导致跨站脚本攻击。但是随着PHP版本的升级,这类问题已经逐渐消失。
全局变量漏洞
由于PHP中的变量可以不经声明就直接使用,使用的时候系统自动创建,系统会自动根据上下文环境自动确定变量类型。这种方式可以大大减少程序员编程中出错的概率,使用起来非常的方便,但同时也是造成安全隐患的重要原因。
文件漏洞
文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。假如在lsm.php中包含这样一段代码:include($b.”/aaa.php”.),这对黑客来说,可以通过变量$b来实现远程攻击,可以是黑客自已的代码,用来实现对网站的攻击。可以向服务器提交a.phpinclude=