PHP WEB 安全

LAMP 相关安全漏洞

     sql注入，代码注入，系统命令注入，apache、nginx配置漏洞。

          sql注入：通过构建特殊的输入作为传入web应用程序，而这些输入大都是一些sql的语法组合，通过sql语句进而执行攻击者所要的操作，其主要原因是程序里没有细致的过滤用户输入的数据，导致非法数据侵入系统。

         【预防方法】

              1.过滤好字符串，判断好参数类型

               get_magic_quotes_gpc检查是否自动转义（<5.4）

               addslashes,MySQLi_real_escape_string插入前转义；

               stripslashes反转义；

             2.使用mysqli，pdo等预编译语句方式执行sql

             3.过滤掉敏感sql，如select union ,drop table

前后端结合的安全漏洞

     表单校验，xss跨站脚本攻击，csfr跨站请求攻击，会话劫持，上传文件漏洞。

业务逻辑相关漏洞

     防刷和ip伪造，WEB代码目录问题，文件路径注入，身份权限验证，密码问题，金额非负问题，短信验证码，日志路径安全。

暂时就这么多，后续会跟新。