网站系统中常见漏洞及防护措施
1.允许用户任意设置全局变量漏洞
a、将php.inc中的register_globals设置为“off"
b、对每个变量进行初始化
2、遇过表单限制漏洞
在php代码中再次进行数据验证
3、文件上传漏洞
通过检查上传文件的类型来限制用户的文件上传
4、根据错误信息攻击服务器漏洞
a、修改PHP安装目录先PHP.INC配置文件,设置display_errors参数为off
b、在执行的函数前加”@“符号以避免错误信息的输出
5、SQL注入漏洞
对通过地址栏传入的参数的值进行判断或者格式化处理
6、远程文件包含漏洞
a、完善程序的错误信息,使访问者无法知道当前脚本正在包含参数中指定的文件
b、替换地址栏参数中的斜线“/”
如:$file_name=str_replace('/',' ',$_GET["filename"]);
暂时就知道这些常见的,希望有好经验的大家补充补充。学习中!