知识点:
1、安全开发-原生PHP-PHP.INI安全
2、安全开发-原生PHP-全局文件&单函数
3、安全开发-原生PHP-流量检测&AI算法
一、演示案例-WEB开发-修复方案-PHP.INI配置
文章参考:
https://www.yisu.com/ask/28100386.html
https://blog.csdn.net/u014265398/article/details/109700309
https://www.cnblogs.com/xiaochaohuashengmi/archive/2011/10/23/2222105.html
安全模式-safe_mode(相关命令执行函数会被禁用)
5.4.0以上版本已被移除
路径访问 open_basedir 限制文件操作安全(遍历、读取等)
禁用函数 disable_function 升级版安全模式,自定义限制函数
魔术引号转义 magic_quotes_gpc
5.4.0以上版本已被移除
数据库访问次数 max_connections 防止数据库爆破
禁用远程执行 allow_url_include allow_url_fopen 远程文件包含开关
安全会话管理 session.cookie_httponly、session.cookie_secure
二、演示案例-WEB开发-修复方案-单函数&全局文件
代码-内置函数
检测:数据的类型差异,数据的固定内容
缺点:当要过滤的变量很多的时候,不可能一个一个写这些内置函数,这时候就可以用到全局文件(单独写一个过滤文件,其他脚本文件则调用这个过滤文件的函数即可)
gettype()获取变量的类型
is_float()检测变量是否是浮点型
is_bool()检测变量是否是布尔型
is_int()检测变量是否是整数
is_null()检测变量是否为NULL
is_numeric()检测变量是否为数字或数字字符串
is_object()检测变量是否是一个对象
is_resource()检测变量是否为资源类型
is_scalar()检测变量是否是一个标量
is_string()检测变量是否是字符串
is_array()检测变量是否是数组
filter_var()使用特定的过滤器过滤一个变量
FILTER_SANITIZE_STRING 过滤器可以过滤HTML标签和特殊字符
FILTER_SANITIZE_NUMBER_INT 过滤器可过滤非整数字符
FILTER_SANITIZE_URL 过滤器用于过滤URL中的非法字符
FILTER_VALIDATE_EMAIL 过滤器来验证电子邮件地址的有效性
无过滤导致正常sql注入
filter_var() // 使用特定的过滤器过滤一个变量
FILTER_SANITIZE_STRING 过滤器可以过滤HTML标签和特殊字符
FILTER_SANITIZE_NUMBER_INT 过滤器可过滤非整数字符
FILTER_SANITIZE_URL 过滤器用于过滤URL中的非法字符
FILTER_VALIDATE_EMAIL 过滤器来验证电子邮件地址的有效性
is_numeric() // 检测变量是否为数字或数字字符串
is_string()// 检测变量是否是字符串
代码-内置函数-SQL注入过滤
Addslashes()返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号()、双引号(”)、反斜线()与NULL字符)。
stripslashes()反引用一个引用字符串,如果magic_quotes_sybase项开启,反斜线将被去除,但是两个反斜线将会被替换成一个。
addcslashes()返回字符串,该字符串在属于参数charlist列表中的字符前都加上了反斜线。
stripcslashes()返回反转义后的字符串。可识别类似C语言的\n,r,…八进制以及十六进制的描述。
mysql_escape_string()此函数并不转义%和_。作用和mysql real escape_string()基本一样
mysql_real_escape_string()调用mysql库的函数在以下字符前添加反斜杠:x00、\n、\r、\、x1a
PHP魔术引号当打开时,所有的'(单引号),”(双引号),(反斜线)和NULL字符都会被自动加上一个反斜线进行转义。这和addslashes()作用完全相同。
预编译机制 固定执行语句,无论在这个执行语句加什么内容都不会改变执行语句本身
addslashes()
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号()、双引号(”)、反斜线()与NULL字符)。
预编译
固定执行语句,无论在这个执行语句加什么内容都不会改变执行语句本身
代码-内置函数-XSS跨站过滤
filter_var() 使用特定的过滤器过滤一个变量
FILTER_SANITIZE_STRING 过滤器可以过滤HTML标签和特殊字符
htmlspecialchars() 函数把预定义的字符转换为HTML实体
strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签
引用-全局文件-关键内容检测
专门写一个过滤文件,里面过滤各种各样漏洞的关键字内容等。其他脚本则调用这个过滤函数即可完成过滤检测。
文件上传-黑名单/白名单
SQL注入
XSS跨站
三、演示案例-WEB开发-修复方案-流量检测-规则&AI算法大模型
模仿流量检测(基于规则或AI算法)
演示:Python Flask+PHP Curl+训练大模型
客户端请求数据 -> 中间件搭建平台 -> 服务器代码文件处理
客户端请求数据 -> WAF或流量监控 (规则,AI模型算法)-> 正常数据 -> 中间件搭建平台 -> 服务器代码文件处理
客户端请求数据 -> WAF或流量监控 (规则,AI模型算法)-> 异常数据 -> 截止
基于规则
AI算法大模型
