基于PHP的網(wǎng)站信息安全研究.pdf

1、PHP語(yǔ)言的流行性使得使用PHP搭建的動(dòng)態(tài)網(wǎng)站大量涌現(xiàn)，然而因?yàn)殚_(kāi)發(fā)者安全意識(shí)相對(duì)淡薄，加之網(wǎng)站攻擊手法層出不窮，PHP網(wǎng)站的安全問(wèn)題逐漸凸顯。所以，研究總結(jié)出一整套能夠系統(tǒng)防御各類網(wǎng)站攻擊的方法并以此來(lái)指導(dǎo)編程人員去編寫(xiě)安全健壯的PHP應(yīng)用就顯得愈發(fā)重要。
　　本課題主要分析和研究了PHP技術(shù)開(kāi)發(fā)出的網(wǎng)站存在的安全漏洞以及防御方法。課題從開(kāi)源WEB應(yīng)用安全項(xiàng)目(OWASP)社區(qū)所列出的WEB應(yīng)用的十大安全隱患入手，將應(yīng)用層DDO

2、S、SQL注入、跨站腳本XSS、跨站請(qǐng)求偽造CSRF及文件包含漏洞作為研究重點(diǎn)，詳細(xì)分析這些攻擊的攻擊原理與攻擊過(guò)程，同時(shí)，本課題也針對(duì)這些攻擊研究并設(shè)計(jì)出對(duì)應(yīng)行之有效的防御措施。本課題提出針對(duì)應(yīng)用層DDOS攻擊，可以從Apache安全配置、限制請(qǐng)求頻率和使用PHP Memcache等方面進(jìn)行防御;針對(duì)SQL注入攻擊，可以利用PHP安全配置、PHP數(shù)據(jù)對(duì)象(PDO)以及數(shù)據(jù)庫(kù)安全設(shè)置等方法防御;針對(duì)跨網(wǎng)站腳本XSS攻擊，可以利用輸入過(guò)濾

3、和輸出編碼及cookie的httponly屬性等方法防御;針對(duì)跨網(wǎng)站請(qǐng)求偽造CSRF，可以利用檢查cookie一致性、檢驗(yàn)HTTP請(qǐng)求來(lái)源(HTTPReferer)、驗(yàn)證碼以及使用Anti CSRF Token等方法防御;針對(duì)文件包含漏洞，可以從設(shè)置php.ini相關(guān)選項(xiàng)、PHP編程中盡量避免包含用戶可控的動(dòng)態(tài)變量等方面防御。
　　政務(wù)網(wǎng)站重在服務(wù)民眾，但網(wǎng)站存在的安全問(wèn)題卻有礙這一功能的實(shí)現(xiàn)。本課題以交通管理部門門戶網(wǎng)站為背景，

4、系統(tǒng)說(shuō)明如何去搭建一個(gè)安全、健壯、可靠的PHP應(yīng)用。結(jié)合課題所面臨的實(shí)際應(yīng)用系統(tǒng)的功能需求與性能要求，從用戶注冊(cè)、授權(quán)登錄、權(quán)限管理等角度重點(diǎn)針對(duì)應(yīng)用層DDOS、SQL注入、跨網(wǎng)站腳本XSS以及跨網(wǎng)站請(qǐng)求偽造CSRF安全漏洞設(shè)計(jì)出網(wǎng)站平臺(tái)重點(diǎn)模塊的安全實(shí)現(xiàn)，最后運(yùn)用漏洞測(cè)試工具對(duì)系統(tǒng)注冊(cè)、登錄等重點(diǎn)模塊進(jìn)行安全測(cè)試并分析，測(cè)試結(jié)果顯示，使用本文提出的一些防御方法能夠有效防御攻擊，達(dá)到預(yù)期的安全性要求。今后可以將這些方法應(yīng)用到實(shí)際的項(xiàng)目中