探析PHP网站设计中信息安全防御措施
2016-10-14王玲玲
王玲玲
摘 要:网络信息技术的发展也加快了信息产业开发的步伐,为人们的生活工作带来了诸多便利,但同时也为信息安全带来了很多隐患问题。信息网络的发展直接关系着国家政治、经济、文化、社会等各方面的发展,涉及范围较广。同时,信息技术也会影响个人的工作生活,数据信息的泄露不但会影响居民的正常生活,甚至还会影响国家政治经济的安全。而PHP技术则是一种内嵌式语言,它可以较为平稳的运行于程序平台中,但网站设计中,PHP也比较容易受到外部攻击,因此在PHP网站设计过程中应做好相应的信息安全防御措施。
关键词:PHP网站;设计;信息安全;防御措施
1.PHP简介
作为一种内嵌式语言,PHP技术在动态网页方面具备更快执行速度,自诞生至今,PHP技术已经被广发应用于2000多万个网站中,成为全球最普及的互联网开发语言。近年来,随着PHP技术的不断完善,其已经由网络开发语言逐渐发展成为适合企业部署的技术平台,西门子、IBM等知名公司也开始广泛使用PHP技术。最早期的PHP技术主要具备访客留言与访客计数等功能,随着后期的开发利用,PHP技术开始加入mSQL支持,进而提升了动态网页开发的执行力。
2.PHP网站设计中存在的信息安全问题
实际PHP编码设计过程中,由于程序员并不具备足够的安全防御意识,导致设计过程中,没有认真检验输入信息的可靠性与安全性,使得计算机内部的操作系统极易被不法分子利用,导致错误指令会被当做正确指令使用,从而造成了用户信息的泄露现象,严重侵犯了用户信息的隐私。
2.1sq1注入
由广义层面看来,网站程序设计员需要在网站代码编程过程中合理判断用户输入数据的合法性与安全性,从而杜绝网站信息的泄露行为。但如果网站程序员忽视了这一操作,用户就可以利用提交数据库查询代码的方式,并根据数据返回结果获取信息,这便是注入了sq1。这种错误操作很容易导致网站用户信息的泄露,因此,程序员需要在网站设计过程中认真判断分析所输入数据的合法性,从而进一步提升网站信息的安全性。
2.2发生or 1=1与union语句入侵
注入or 1=1,可以使不法分子在登录网站时避开密码验证过程,从而可以利用任意的使用名便可以随意进入信息系统,从而达到侵入目的,这也是网站设计中应用最为广泛的语句注入模式,它主要是程序员在编写代码过程中,并未认真检测所输信息是否含有非预期的字符,而是直接将客户的需求传达给计算机的函数系统进行识别。这种注入方法会使密码验证失去原有的保护作用,不法分子可以利用漏洞直接侵入网站系统,从而可以容易的获得所有用户的数据资料。而与Or 1=1语句注入侵入不同的是,union语句则可以使程序的默认语言出现混乱,计算机在执行union程序后,会利用自身的sq1注入语句,从而侵入内部程序系统。
2.3xss跨站攻击
作为最常见的网站攻击模式,xss的工作原理比较接近sq1的工作原理,不同的是,xss还要通过专门的脚本才可以注入到htm1标签之中,进而可以在网页输入框架中输入违法恶意的信息内容。当这些恶意信息进入到网站的客户端时,网络浏览器无法做到识别排除,而是会自动运行这些错误信息,从而会影响网页页面的正常显示,进而可以在进一步注入脚本。同时,还可以使用网页输入代码方式,在利用xss漏洞的基础上控制计算机的操作系统,进而为黑客编写恶意程序提供了方便,破坏了计算机原有系统的安全性与稳定性。黑客攻击网页的主要方式便是在计算机浏览网站利用xss自动弹出一些窗口,但这些窗口网页会带有黑客设计好的感染病毒,从而借此获取用户信息。
3.PHP网站设计的信息防御措施
3.1公开防御措施
在保护网站信息安全的过程中,程序员应适当公开安全防御措施,使客户更为清楚的了解具体的防御过程。用户也不可以直接跳过信息安全检测步骤,并要求在进入网站系统之前,要输入相应的用户名与密码,保证网站运行操作的安全性,从而达到保护网站信息的目的。
3.2跟踪数据运行
为了进一步确保网站设计的安全性,程序员还应做到时时跟踪用户的数据运行过程,通过掌握信息的具体动向来约束用户的使用行为,从而防止发生信息泄露问题。但用户信息的实时追踪是一种难度较大的信息监测方法,当程序员不够熟悉其工作原理时,便会无法理解web的运作原理,程序开发过程中不可避免的会出现失误,进而产生安全漏洞,为此,程序员还应认真学习数据追踪的工作原理,全面了解实时追踪的操作过程。
3.3筛选输入信息
为了进一步确保网站信息的安全性,程序员还应对用户所输信息进行必要的筛选,使其可以实现合法化。同时,网站工作人员也应认真确认筛选用户输入信息,以充分避免木马病毒的在未知情况下被误用。
3.4防止注入sq1
当前,网络系统具有多种注入方式,且它们都存在一个明显额公共点,即缺乏必要的过滤程序,以此实现非法获取用户资料信息的目的。为了充分避免非法语句的注入,程序员需要认真筛选、过滤查询语句。并利用计算机内的正规的函数表达式进行常用语句的匹配,充分提升筛选的正确率。由此可见,只要使用了过滤函数便可以很程度上避免语句注入的侵入,从而充分保护了网站用户信息的安全性。
结束语
随着网络信息技术的快速发展,各种网站层出不穷,很大程度上改变了人们的日常生活,但网站设计在为人们带来便利的同时也存在着很多的安全隐患问题。网站设计关系着国家政治、经济等各个方面,且当前每个企业都具备自己专属的网站,内部的信息交流也主要依靠网络完成,由此可见,PHP网站设计中安全性十分重要。本文便通过分析PHP网站设计中存在的常见问题,提出了解决安全漏洞的防御措施与方法。
参考文献
[1]王尧.关于PHP网站设计中信息安全防御措施浅析(优先出版)[J].电子技术与软件工程,2014(08).
[2]吴思嫦.基于ASP.NET电子商务网站的设计、实现及安全性增强[D].华中师范大学,2012(05).
[3]刘鹏.PHP Web应用程序安全性研究及安全漏洞检测工具开发[D].西安电子科技大学,2011(12).
[4]林静澜.论基于PHP在线视频点播网站设计与实现的要点分析[J].信息与电脑(理论版),2012(07).