PHP安全問題總結之有哪些？[圖]

PHP安全問題總結之有哪些？[圖]
一、XSS
Cross-SiteScripting（跨站腳本攻擊）簡稱XSS，是一種代碼注入攻擊。攻擊者經過在目標網站上注入惡意腳本，使之在用戶的瀏覽器上運行。利用這些惡意腳本，攻擊者可獲取用戶的敏感信息如Cookie、SessionID等，進而危害數據安全。

來源
來自用戶的UGC信息
來自第三方的連接
URL參數
POST參數
Referer（可能來自不可信的來源）
Cookie（可能來自其餘子域注入）
轉義、過濾、限制長度
二、SQL注入
經過SQL語句，實現無帳號登陸，甚至篡改數據庫。
如何防護SQL注入
一、檢查變量數據類型和格式二、過濾特殊符號三、綁定變量，使用預編譯語句
三、CSRF
CSRF通常指跨站請求僞造CSRF攻擊的全稱是跨站請求僞造（crosssiterequestforgery)，是一種對網站的惡意利用。
CSRF則是經過假裝來自受信任用戶的請求來利用受信任的網站，攻擊者盜用了你的身份，以你的名義向第三方網站發送惡意請求。CRSF能作的事情包括利用你的身份發郵件、發短信、進行交易轉帳等，甚至盜取你的帳號。
四、CC攻擊
（1）CC攻擊的原理：
CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方服務器形成服務器資源耗盡，一直到宕機崩潰。
CC主要是用來消耗服務器資源的，每一個人都有這樣的體驗：
當一個網頁訪問的人數特別多的時候，打開網頁就慢了，CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些須要大量數據操做(就是須要大量CPU時間)的頁面，形成服務器資源的浪費，CPU長時間處於100%，永遠都有處理不完的鏈接直至就網絡擁塞，正常的訪問被停止。
（2）CC攻擊的種類：
CC攻擊的種類有三種，
直接攻擊
代理攻擊
僵屍網絡攻擊
直接攻擊主要針對有重要缺陷的WEB應用程序，通常說來是程序寫的有問題的時候纔會出現這種狀況，比較少見。
五、DOS攻擊
中文名稱是拒絕服務，一切能引發DOS行爲的攻擊都被稱爲DOS攻擊。該攻擊的效果是使得計算機或網絡沒法提供正常的服務。常見的DOS攻擊有針對計算機網絡帶寬和連通性的攻擊。DOS是單機於單機之間的攻擊。
DOS攻擊的原理：
首先攻擊者向被攻擊的服務器發送大量的虛假IP請求，被攻擊者在收到請求後返回確認信息，等待攻擊者進行確認，（此處須要擁有HTTP協議工做方式和TCP三次握手的基本知識）該過程須要TCP的三次握手，因爲攻擊者發送的請求信息是虛假的，因此服務器接收不到返回的確認信息，在一段時間內服務器會處與等待狀態，而分配給此次請求的資源卻沒有被釋放。
當被攻擊者等待必定的時間後，會因鏈接超時而斷開，這時攻擊者在次發送新的虛假信息請求，這樣最終服務器資源被耗盡，直到癱瘓。
PHP簡介：
PHP原始爲PersonalHomePage的縮寫，已經正式改名爲"PHP:HypertextPreprocessor"。自20世紀90年代國內互聯網開始發展到如今，互聯網信息幾乎覆蓋了咱們平常活動全部知識範疇，並逐漸成爲咱們生活、學習、工做中必不可少的一部分。把家人比喻成動物的做文（https://www.yuananren.com/zuowen/10997.html）據統計，從2003年開始，我國的網頁規模基本保持了翻番的增加速度，而且呈上升趨勢。PHP語言做爲當今最熱門的網站程序開發語言，它具備成本低、速度快、可移植性好、內置豐富的函數庫等優勢，所以被愈來愈多的企業應用於網站開發中。但隨着互聯網的不斷更新換代，PHP語言也出現了很多問題。
六、DDOS攻擊
DDoS攻擊就是分佈式的拒絕服務攻擊，DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊通常是採用一對一方式的，隨着計算機與網絡技術的發展，DoS攻擊的困難程度加大了。
因而就產生了DDoS攻擊，它的原理就很簡單：計算機與網絡的處理能力加大了10倍，用一臺攻擊機來攻擊再也不能起做用，那麼DDoS就是利用更多的傀儡機來發起進攻，以比從前更大的規模來進攻受害者。經常使用的DDoS軟件有：LOIC。
PHP模板之Smarty模板介紹
Smarty模板是怎樣設計的？