APP下载

PHP网站设计中信息安全防御措施

2017-03-17李鹏

中国管理信息化 2017年3期
关键词:网站设计防御措施信息安全

李鹏

[摘 要] 随着网络信息技术的快速发展,各种网站层出不穷,很大程度上改变了人们的日常生活,但网站设计在为人们带来便利的同时也存在着很多的安全隐患问题。网站设计关系着国家政治、经济等各个方面,且当前每个企业都具备自己专属的网站,内部的信息交流也主要依靠网络完成,PHP网站设计中安全性十分重要。

[关键词] PHP;网站设计;信息安全;防御措施

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 081

[中图分类号] TN915.08 [文献标识码] A [文章编号] 1673 - 0194(2017)03- 0144- 02

1 PHP简介

作为一种内嵌式语言,PHP技术在动态网页方面具备更快的执行速度,自诞生至今,PHP技术已经被广发应用于2 000多万个网站中,成为全球最普及的互联网开发语言。近年来,随着PHP技术的不断完善,其已经由网络开发语言逐渐发展成为适合企业部署的技术平台,西门子、IBM等知名公司也开始广泛使用PHP技术。最早期的PHP技术主要具备访客留言与访客计数等功能,随着后期的开发利用,PHP技术开始加入MySQL支持,进而提升了动态网页开发的执行力。

2 PHP网站设计中存在的信息安全问题

实际PHP编码设计过程中,由于程序员并不具备足够的安全防御意识,导致设计过程中,没有认真检验输入信息的可靠性与安全性,使得计算机内部的操作系统极易被不法分子利用,导致错误指令会被当做正确指令使用,从而造成了用户信息的泄露现象,严重侵犯了用户信息的隐私。

2.1 SQL注入

由广义层面看来,网站程序设计员需要在网站代码编程过程中合理判断用户输入数据的合法性与安全性,从而杜绝网站信息的泄露行为。但如果网站程序员忽视了这一操作,用户就可以利用提交数据库查询代码的方式,并根据数据返回结果获取信息,这便是注入了SQL。这种错误操作很容易导致网站用户信息的泄露,因此,程序员需要在网站设计过程中认真判断分析所输入數据的合法性,从而进一步提升网站信息的安全性。

2.2 发生or 1=1与union语句入侵

注入or 1=1,可以使不法分子在登录网站时避开密码验证过程,从而可以利用任意的使用名便可以随意进入信息系统,从而达到侵入目的,这也是网站设计中应用最为广泛的语句注入模式,它主要是程序员在编写代码过程中,并未认真检测所输信息是否含有非预期的字符,而是直接将客户的需求传达给计算机的函数系统进行识别。这种注入方法会使密码验证失去原有的保护作用,不法分子可以利用漏洞直接侵入网站系统,从而可以容易的获得所有用户的数据资料。而与or 1=1语句注入侵入不同的是,union语句则可以使程序的默认语言出现混乱,计算机在执行union程序后,会利用自身的SQL注入语句,从而侵入内部程序系统。

2.3 XSS跨站攻击

作为最常见的网站攻击模式,XSS的工作原理比较接近SQL的工作原理,不同的是,XSS还要通过专门的脚本才可以注入到HTML标签之中,进而可以在网页输入框架中输入违法恶意的信息内容。当这些恶意信息进入到网站的客户端时,网络浏览器无法做到识别排除,而是会自动运行这些错误信息,从而会影响网页页面的正常显示,进而可以在进一步注入脚本。同时,还可以使用网页输入代码方式,在利用XSS漏洞的基础上控制计算机的操作系统,进而为黑客编写恶意程序提供了方便,破坏了计算机原有系统的安全性与稳定性。黑客攻击网页的主要方式便是在计算机浏览网站利用XSS自动弹出一些窗口,但这些窗口网页会带有黑客设计好的感染病毒,从而借此获取用户信息。

3 PHP网站设计的信息防御措施

3.1 公开防御措施

在保护网站信息安全的过程中,程序员应适当公开安全防御措施,使客户更为清楚的了解具体的防御过程。用户也不可以直接跳过信息安全检测步骤,并要求在进入网站系统之前,要输入相应的用户名与密码,保证网站运行操作的安全性,从而达到保护网站信息的目的。

3.2 跟踪数据运行

为了进一步确保网站设计的安全性,程序员还应做到实时跟踪用户的数据运行过程,通过掌握信息的具体动向来约束用户的使用行为,从而防止发生信息泄露问题。但用户信息的实时追踪是一种难度较大的信息监测方法,当程序员不够熟悉其工作原理时,便会无法理解Web的运作原理,程序开发过程中不可避免的会出现失误,进而产生安全漏洞,为此,程序员还应认真学习数据追踪的工作原理,全面了解实时追踪的操作过程。

3.3 筛选输入信息

为了进一步确保网站信息的安全性,程序员还应对用户所输信息进行必要的筛选,使其可以实现合法化。同时,网站工作人员也应认真确认筛选用户输入信息,以充分避免木马病毒的在未知情况下被误用。

3.4 防止注入SQL

当前,网络系统具有多种注入方式,且它们都存在一个明显的共同点,即缺乏必要的过滤程序,以此实现非法获取用户资料信息的目的。为了充分避免非法语句的注入,程序员需要认真筛选、过滤查询语句。并利用计算机内的正规的函数表达式进行常用语句的匹配,充分提升筛选的准确率。由此可见,只要使用了过滤函数便可以很大程度上避免SQL语句注入的侵入,从而充分保护了网站用户信息的安全性。

4 结 语

网络信息技术的发展加快了信息产业开发的步伐,直接关系着国家政治、经济、文化、社会等各方面的发展,涉及范围较广,为人们的生活工作带来了诸多便利,但同时也为信息安全带来了很多隐患,同时,信息安全也会影响个人的工作生活,数据信息的泄露不但会影响居民的正常生活,甚至还会影响国家政治经济的安全。

主要参考文献

[1][美]W. Jason Gilmore. PHP与MySQL程序设计[M].第4版.朱涛江,等.译.北京:人民邮电出版社,2011.

猜你喜欢

网站设计防御措施信息安全
保护信息安全要滴水不漏
高校信息安全防护
企业网站建设的探讨
水稻倒伏与防御措施
阳信县主要气象灾害对农业生产的影响及防御措施
探析PHP网站设计中信息安全防御措施
网站设计课程内容优化探讨
可复用的高职网站后台管理系统的设计
保护个人信息安全刻不容缓
《计算机应用基础》自主学习网站的研究与设计