亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定

Yii框架不得不說的故事—安全篇(3)

withy PHP開發工程師
難度中級
時長 3小時 1分
學習人數
綜合評分9.77
55人評價 查看評價
9.8 內容實用
9.9 簡潔易懂
9.6 邏輯清晰
  • 如何get到值為 雙引號
    查看全部
  • xss:非法javascript, 使用lexer過濾; csrf: 盜用身份偽造非法請求,使用token; sql注入: 構造非法sql, 使用PDO及占位符; 文件上傳: 上傳非法文件并執行,嚴格過濾及重命名等
    查看全部
    0 采集 收起 來源:安全篇回顧

    2016-05-24

  • 上傳文件數據時,請求數據可以在出發前被攔截并篡改 content-type可被修改, 文件名中加入:,可以通過后綴名驗證, 并使move_uploaded_file執行時丟棄:之后的部分,使上傳文件變成可執行的php 若上傳文件沒被重命名或重命名后的名字被發現,則可使文件可被任意執行 處理方式:嚴格檢查文件,禁止出現":", 重命名文件,禁止目錄列出文件,取消上傳目錄文件的執行權限
    查看全部
  • 文件上傳漏洞 如果后臺對文件上傳審查不嚴,導致php代碼上傳后被執行,可進行遍歷文件等操作使源碼泄露
    查看全部
  • 使用wireshark 對數據庫連接抓包
    查看全部
  • 使用PDO統一數據庫接口,可以無痛切換; 使用占位符防范SQL注入
    查看全部
  • 實際的ASCII碼,在utf-8和gbk下的解碼
    查看全部
  • 繞過轉義: char(0xdf)/',在utf-8下會變成β/', 而在gbk下由于漢字是2個字節組成;在數據中將變成 運',單引號逃過了被轉義
    查看全部
  • Sql注入:將要執行的sql語句采用拼接的方式組裝時,就sql注入的可能; 原本要查詢的字符串在拼接后發生發“越獄”,部分字符串被數據庫識別成可執行語句, 導致意外的操作和查詢結果 防范:1,屏蔽關鍵字和敏感詞,有影響業務邏輯的可能; 2, 對傳入變量轉義,避免變量的內容越獄
    查看全部
  • web表單提交數據會引發yii的csrf驗證, 所提交的表單需要帶上 hidden value: _csrf; 可以由\Yii::$app->request->csrfToken 獲得
    查看全部
  • 防范csrf: 1,驗證碼:比較有效,降低用戶體驗; 2,referer頭,需要考慮正常訪問沒有referer頭的情況; 3,token, 響應請求時返回的防偽標志
    查看全部
    0 采集 收起 來源:csrf攻擊之防范

    2016-05-21

  • 在用戶已經登陸的情況下,偽造表單,生成鏈接并誘使用戶進行點擊,從而盜用用戶身份進行操作(發貼,評論,轉賬等)
    查看全部
  • get型的crtf攻擊 構造url, 誘使用戶點擊
    查看全部
  • // yii過濾javascript // 去防護 \Yii::$app->response->headers->add('X-XSS-Protection', '0'); $js = \Yii::$app->request->get('js'); echo \Yii\helpers\HtmlPurifier::process($js);
    查看全部
  • yii2防范xss: Html::encode($str); 其源碼為返回httpspecialchar($str)轉碼之后的值
    查看全部
首頁上一頁9101112131415下一頁尾頁

舉報

0/150
提交
取消
課程須知
學習本門課程之前,建議先了解一下知識,會更有助于理解和掌握本門課程 1、掌握PHP基本的語言語法 2、了解sql語句和數據庫 3、對互聯網安全有一定的了解
老師告訴你能學到什么?
1、XSS、CSRF、SQL注入、文件上傳漏洞等攻擊方式。 2、YII框架中使用的lexer解析、cookie校驗、pdo防范措施。

微信掃碼,參與3人拼團

微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號
友情提示:

您好,此課程屬于遷移課程,您已購買該課程,無需重復購買,感謝您對慕課網的支持!