需要注意的几个PHP漏洞小结


Posted in PHP onFebruary 05, 2012

需要注意的几个PHP漏洞
几个重要的php.ini选项

Register Globals

php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.

例1:

//check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作 

//ex1.php 

 

if (check_admin()) 

{ 

$is_admin = true; 

} 

if ($is_admin) 

{ 

do_something(); 

} 

?>

这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以绕过check_admin()的验证

例2:

//ex2.php 

 

if (isset($_SESSION["username"])) 

{ 

do_something(); 

} 

else 

{ 

echo "您尚未登录!"; 

} 

?>

//ex1.php 

 

$dir = $_GET["dir"]; 

if (isset($dir)) 

{ 

echo ""; 

system("ls -al ".$dir); 

echo ""; 

} 

?>

需要注意的几个PHP漏洞小结 
 mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候

//ex2.php

$var = "var"; 

if (isset($_GET["arg"])) 

{ 

$arg = $_GET["arg"]; 

eval("$var = $arg;"); 

echo "$var =".$var; 

} 

?>

需要注意的几个PHP漏洞小结

PHP 相关文章推荐
缓存技术详谈―php
Dec 14 PHP
php simplexmlElement操作xml的命名空间实现代码
Jan 04 PHP
php输入流php://input使用示例(php发送图片流到服务器)
Dec 25 PHP
PHP生成随机密码类分享
Jun 25 PHP
php中数字、字符与对象判断函数用法实例
Nov 26 PHP
PHP下载远程文件到本地存储的方法
Mar 24 PHP
WIFI万能钥匙密码查询接口实例
Sep 28 PHP
老生常谈PHP面向对象之注册表模式
May 26 PHP
完美的php分页类
Oct 24 PHP
ThinkPHP5.0 图片上传生成缩略图实例代码说明
Jun 20 PHP
php获取微信基础接口凭证Access_token
Aug 23 PHP
PHP+mysql防止SQL注入的方法小结
Apr 27 PHP
PHP的可变变量名的使用方法分享
Feb 05 #PHP
PHP中如何判断AJAX提交的数据
Feb 05 #PHP
用PHP书写安全的脚本代码
Feb 05 #PHP
PHP中register_globals参数为OFF和ON的区别(register_globals 使用详解)
Feb 05 #PHP
PHP中使用数组实现堆栈数据结构的代码
Feb 05 #PHP
PHP使用数组实现队列
Feb 05 #PHP
mysql数据库差异比较的PHP代码
Feb 05 #PHP
You might like
我的论坛源代码(九)
2006/10/09 PHP
发款php蜘蛛统计插件只要有mysql就可用
2010/10/12 PHP
php算开始时间到过期时间的相隔的天数
2011/01/12 PHP
php定义一个参数带有默认值的函数实例分析
2015/03/16 PHP
php按字符无乱码截取中文的方法
2015/03/27 PHP
laravel框架 api自定义全局异常处理方法
2019/10/11 PHP
JS对象与JSON格式数据相互转换
2012/02/20 Javascript
iphone safari不支持position fixed的解决方法
2012/05/04 Javascript
jquery实现微博文字输入框 输入时显示输入字数 效果实现
2013/07/12 Javascript
JavaScript输入邮箱自动提示实例代码
2014/01/13 Javascript
JavaScript 开发工具webstrom使用指南
2014/12/09 Javascript
Javascript中的数据类型之旅
2015/10/18 Javascript
不想让浏览器运行javascript脚本的方法
2015/11/20 Javascript
javascript断点调试心得分享
2016/04/23 Javascript
Javascript的比较汇总
2016/07/25 Javascript
vue axios整合使用全攻略
2018/05/24 Javascript
JavaScript使用类似break机制中断forEach循环的方法
2018/11/13 Javascript
微信小程序实现点击卡片 翻转效果
2019/09/04 Javascript
[03:38]2014DOTA2西雅图国际邀请赛 VG战队巡礼
2014/07/07 DOTA
python实现人工智能Ai抠图功能
2019/09/05 Python
python实现银行管理系统
2019/10/25 Python
Python numpy线性代数用法实例解析
2019/11/15 Python
用Python去除图像的黑色或白色背景实例
2019/12/12 Python
Python异步编程之协程任务的调度操作实例分析
2020/02/01 Python
python代码实现TSNE降维数据可视化教程
2020/02/28 Python
python打包多类型文件的操作方法
2020/09/21 Python
python 模拟登陆163邮箱
2020/12/15 Python
AmazeUI 加载进度条的实现示例
2020/08/20 HTML / CSS
Python中如何定义一个函数
2016/09/06 面试题
钳工实习自我鉴定
2013/09/19 职场文书
青年志愿者事迹材料
2014/02/07 职场文书
公司委托书范本
2014/04/04 职场文书
优秀工会工作者事迹材料
2014/06/02 职场文书
师德师风学习材料
2014/12/19 职场文书
捐助倡议书
2015/01/19 职场文书
涨价通知
2015/04/23 职场文书