亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

php安全性問題中:Null字符的示例分析

發布時間:2021-10-12 14:33:16 來源:億速云 閱讀:98 作者:小新 欄目:開發技術

這篇文章將為大家詳細講解有關php安全性問題中:Null字符的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

由于 PHP 的文件系統操作是基于 C 語言的函數的,所以它可能會以您意想不到的方式處理 Null 字符。 Null字符在 C 語言中用于標識字符串結束,一個完整的字符串是從其開頭到遇見 Null 字符為止。 以下代碼演示了類似的攻擊:
Example #1 會被 Null 字符問題攻擊的代碼

代碼如下:


<?php
$file = $_GET['file']; // "../../etc/passwd\0"
if (file_exists('/home/wwwrun/'.$file.'.php')) {
    // file_exists will return true as the file /home/wwwrun/../../etc/passwd exists
    include '/home/wwwrun/'.$file.'.php';
    // the file /etc/passwd will be included
}
?>


因此,任何用于操作文件系統的字符串(譯注:特別是程序外部輸入的字符串)都必須經過適當的檢查。以下是上述例子的改進版本:
Example #2 驗證輸入的正確做法

代碼如下:


<?php
$file = $_GET['file'];
// 對字符串進行白名單檢查
switch ($file) {
    case 'main':
    case 'foo':
    case 'bar':
        include '/home/wwwrun/include/'.$file.'.php';
        break;
    default:
        include '/home/wwwrun/include/main.php';
}
?>


一個函數錯誤就可能暴露系統正在使用的數據庫,或者為攻擊者提供有關網頁、程序或設計方面的有用信息。攻擊者往往會順藤摸瓜地找到開放的數據庫端口,以及頁面上某些 bug 或弱點等。比如說,攻擊者可以一些不正常的數據使程序出錯,來探測腳本中認證的順序(通過錯誤提示的行號數字)以及腳本中其它位置可能泄露的信息。

一個文件系統或者 PHP 的錯誤就會暴露 web服務器具有什么權限,以及文件在服務器上的組織結構。開發者自己寫的錯誤代碼會加劇此問題,導致泄漏了原本隱藏的信息。

有三個常用的辦法處理這些問題。第一個是徹底地檢查所有函數,并嘗試彌補大多數錯誤。第二個是對在線系統徹底關閉錯誤報告。第三個是使用 PHP 自定義的錯誤處理函數創建自己的錯誤處理機制。根據不同的安全策略,三種方法可能都適用。

關于“php安全性問題中:Null字符的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

延庆县| 柯坪县| 都匀市| 保德县| 中牟县| 资中县| 栾川县| 鄂州市| 通河县| 侯马市| 长武县| 方城县| 秦皇岛市| 罗平县| 桓台县| 巴马| 巢湖市| 定西市| 龙江县| 孝感市| 宜州市| 米林县| 宕昌县| 甘孜| 太原市| 宜兴市| 定远县| 神农架林区| 郸城县| 大冶市| 科尔| 巴彦淖尔市| 永丰县| 枣庄市| 禄劝| 葵青区| 平武县| 滨州市| 迁西县| 尖扎县| 肇州县|