我刚刚阅读了这篇关于 PHP 中捎带支持的文章。
我用谷歌搜索了它,但那里没有太多信息。
谁能告诉我更多细节如何防止这种攻击,什么样的代码实践容易受到攻击以及我们应该怎么做?
提前致谢。
问问题
221 次
4 回答
2
那篇文章似乎指的是一个易受攻击的 Web 应用程序,而不是任何特定于 PHP 的内容。
这个先前的线程提供了一些关于编写安全 PHP 代码的有用信息:
如果我们从字面上理解文章中的“他们使用这些漏洞将 PHP 代码注入站点”部分,那么开发人员可能会使用包含/要求语句或eval的用户输入
于 2010-03-07T08:51:24.177 回答
0
这篇文章不是特别清楚,但我的猜测是他们只是使用了 SQL 注入,并且为了避免被检测到,他们插入了一个脚本,该脚本实际上并没有正常地改变网站的行为,除非访问者来自谷歌使用相关的搜索词,作者将这种情况下的重定向称为“捎带”。
所以:转义并验证所有用户输入。
于 2010-03-07T08:52:14.890 回答
0
BBC 的新闻文章正在谈论“持久性 xss ”。把它留给新闻谈论黑客攻击,而不提及任何关于漏洞的事情。但这可能是 bbc.co.uk 不知道什么是 xss 漏洞,因为如果他们知道,他们会修补他们自己该死的网站!.
有很多方法可以实现对 PHP Web 应用程序的远程代码执行。没有人应该称其为“PHP 注入”,如果他们称其为“PHP 注入”,那么他们就不知道他们在说什么。 A Study In Scarlet是一篇优秀的论文,详细介绍了攻击者可以用来获取针对 PHP 应用程序的远程代码执行的许多不同方法。本文面向恶意黑客,而非开发人员。
到目前为止,XSS 是在某人的网站上恶意地展示广告的最简单和最常用的方法。
于 2010-03-07T18:06:50.550 回答