编程 PHP

需要注意的几个PHP漏洞小结

Posted in PHP onFebruary 05, 2012

需要注意的几个PHP漏洞
几个重要的php.ini选项

php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.

例1:

//check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作 

//ex1.php 

 

if (check_admin()) 

{ 

$is_admin = true; 

} 

if ($is_admin) 

{ 

do_something(); 

} 

?>

这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以绕过check_admin()的验证

例2:

//ex2.php 

 

if (isset($_SESSION["username"])) 

{ 

do_something(); 

} 

else 

{ 

echo "您尚未登录!"; 

} 

?>

//ex1.php 

 

$dir = $_GET["dir"]; 

if (isset($dir)) 

{ 

echo ""; 

system("ls -al ".$dir); 

echo ""; 

} 

?>

　mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候

//ex2.php

$var = "var"; 

if (isset($_GET["arg"])) 

{ 

$arg = $_GET["arg"]; 

eval("$var = $arg;"); 

echo "$var =".$var; 

} 

?>

需要注意的几个PHP漏洞小结

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

缓存技术详谈―php

Dec 14 PHP

php simplexmlElement操作xml的命名空间实现代码

Jan 04 PHP

php输入流php://input使用示例(php发送图片流到服务器)

Dec 25 PHP

PHP生成随机密码类分享

Jun 25 PHP

php中数字、字符与对象判断函数用法实例

Nov 26 PHP

PHP下载远程文件到本地存储的方法

Mar 24 PHP

WIFI万能钥匙密码查询接口实例

Sep 28 PHP

老生常谈PHP面向对象之注册表模式

May 26 PHP

完美的php分页类

Oct 24 PHP

ThinkPHP5.0 图片上传生成缩略图实例代码说明

Jun 20 PHP

php获取微信基础接口凭证Access_token

Aug 23 PHP

PHP+mysql防止SQL注入的方法小结

Apr 27 PHP

PHP的可变变量名的使用方法分享

Feb 05 #PHP

PHP中如何判断AJAX提交的数据

Feb 05 #PHP

用PHP书写安全的脚本代码

Feb 05 #PHP

PHP中register_globals参数为OFF和ON的区别（register_globals 使用详解）

Feb 05 #PHP

PHP中使用数组实现堆栈数据结构的代码

Feb 05 #PHP

PHP使用数组实现队列

Feb 05 #PHP

mysql数据库差异比较的PHP代码

Feb 05 #PHP

You might like

我的论坛源代码(九)

2006/10/09 PHP

发款php蜘蛛统计插件只要有mysql就可用

2010/10/12 PHP

php算开始时间到过期时间的相隔的天数

2011/01/12 PHP

php定义一个参数带有默认值的函数实例分析

2015/03/16 PHP

php按字符无乱码截取中文的方法

2015/03/27 PHP

laravel框架 api自定义全局异常处理方法

2019/10/11 PHP

JS对象与JSON格式数据相互转换

2012/02/20 Javascript

iphone safari不支持position fixed的解决方法

2012/05/04 Javascript

jquery实现微博文字输入框输入时显示输入字数效果实现

2013/07/12 Javascript

JavaScript输入邮箱自动提示实例代码

2014/01/13 Javascript

JavaScript 开发工具webstrom使用指南

2014/12/09 Javascript

Javascript中的数据类型之旅

2015/10/18 Javascript

不想让浏览器运行javascript脚本的方法

2015/11/20 Javascript

javascript断点调试心得分享

2016/04/23 Javascript

Javascript的比较汇总

2016/07/25 Javascript

vue axios整合使用全攻略

2018/05/24 Javascript

JavaScript使用类似break机制中断forEach循环的方法

2018/11/13 Javascript

微信小程序实现点击卡片翻转效果

2019/09/04 Javascript

[03:38]2014DOTA2西雅图国际邀请赛 VG战队巡礼

2014/07/07 DOTA

python实现人工智能Ai抠图功能

2019/09/05 Python

python实现银行管理系统

2019/10/25 Python

Python numpy线性代数用法实例解析

2019/11/15 Python

用Python去除图像的黑色或白色背景实例

2019/12/12 Python

Python异步编程之协程任务的调度操作实例分析

2020/02/01 Python

python代码实现TSNE降维数据可视化教程

2020/02/28 Python

python打包多类型文件的操作方法

2020/09/21 Python

python 模拟登陆163邮箱

2020/12/15 Python

AmazeUI 加载进度条的实现示例

2020/08/20 HTML / CSS

Python中如何定义一个函数

2016/09/06 面试题

钳工实习自我鉴定

2013/09/19 职场文书

青年志愿者事迹材料

2014/02/07 职场文书

公司委托书范本

2014/04/04 职场文书

优秀工会工作者事迹材料

2014/06/02 职场文书

师德师风学习材料

2014/12/19 职场文书

捐助倡议书

2015/01/19 职场文书

涨价通知

2015/04/23 职场文书