19 十二 2008 @ 1:02 上午
ASP注入让很多ASP的程序员都非常恼火,但同时ASP编码的安全性也在不短地提高。在PHP编码的时候,同样也要考虑到很多安全问题,不然PHP同样能被攻击。下面我们就一起来看看有那几点是需要注意的。
初始化你的变量
我们看下面的代码:
if ($admin)
{
echo ‘登陆成功!’;
include(‘admin.php’);
}
else
{
echo ‘你不是管理员,无法进行管理!’;
}
我们看上面的代码好像是能正常运行,没有问题,那么假如我提交一个非法的参数过去,那么效果会如何呢?比如我们的这个页是 http://www.test.com/login.php,那么我们提交:http://www.test.com/login.php?admin=1,呵呵,你想一想,我们是不是直接就是管理员,可以直接进行管理了?
当然,可能你会觉得不会犯这么简单错的错误,可最近暴出来的phpwind 1.3.6论坛漏洞,导致能够直接拿到管理员权限,就是因为有个$skin变量没有初始化,导致了后面一系列问题。
Categories
Tag Cloud
Blog RSS
Comments RSS
Last 50 Posts
Back
Void 
Life 
Earth 
Wind 
Water 
Fire