欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

打造刀郎平安PHP体系 · 续_Sunbet 申博

de64384a174e12dc2018-09-135Web安全刀郎

媒介

上一期给人人报告了怎样打造刀郎平安PHP体系【传送门】,本期我们继承。

近来某某旅店火了一把,动不动就最先脱裤子,很吓人啊,从本身打造平安的角度动身,我以为最大问题是程序员乱七八糟,另有就是老板压得太狠,功用都完成不完,哪有时刻加固网站平安啊!因为网站功用太多,完成太庞杂,不免会有sql注入,那末怎样提防?

完成道理

我想到的要领是用户信息和网站数据信息离开处置惩罚,也就是放到分歧机械的分歧数据库中,先看看下面的图,我再依据图来解说。

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第1张

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第1张

提防分为二局部

第一局部:用户网站,也就是程序员开辟功用和完成的代码局部,也是最轻易涌现sql注入的局部;

第二局部:受权体系,这里就是我们须要重点保护的中央,因为功用单一,完成局部也简朴,做平安对照轻易。

发起这二局部分二台机械布置,当有用户注册和上岸的时刻,用户网站会跳转到受权体系,停止考证,考证完成后,再跳转到用户网站,如许的优点就是当用户网站涌现sql注入或许上传破绽的时刻不会要挟到用户数据库的平安。

完成代码

1.打造受权体系

写了一个简朴的例子,一共5个文件(login.html,login.php,reg.html,reg.php,valid_login.php),

login.html,login.php

是上岸局部,login.html是前端表单的完成,login.php是后端吸收数据的处置惩罚;

reg.html,reg.php 

是注册局部,reg.html是前端表单的完成,reg.php是后端吸收数据的处置惩罚;

valid_login.php

考证用户网站发送过去的受权码是不是有用。

1.1 reg.php的完成

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第3张

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第3张

,

诚信在线教育网【www.cxculb.com】

诚信在线教育息网以“打造教育信息垂直门户”为基础定位,将教育行业各类权威资讯、教育资源 信息、可信任的行业网站信息提供给互联网用户。

,

吸收到用户名的暗码后,先对照一下暗码是不是同等,若是同等,间接用base64停止加密,

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第5张

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第5张

加密完成今后,查询一下用户名是不是曾经存在,不存在拔出加密的base64用户名和暗码信息,再跳转到受权体系的上岸页面。

1.2 login.php的完成

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第7张

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第7张

吸收上岸的账号和暗码去掉空格用base64加密一次,再到数据库取查询。

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第9张

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第9张

若是账号和暗码婚配,我们就天生受权码(base64加密一下)而且以后的时刻,他们更新到数据库中,同时跳转到用户网站127.0.0.1中去(这里的受权码和用户名是没有加密的)。

1.3 valid_login.php的完成

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第11张用吸收到用户网站发送过去的用户名和受权码的时刻,我们给受权码和用户名用base64加密一下,再到数据库中查询一下,固然这里另有时刻字段没有完成,人人本身写代码,若是婚配一般就前往用户的信息,好比用户是不是有用,用户名,用户品级。

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第11张用吸收到用户网站发送过去的用户名和受权码的时刻,我们给受权码和用户名用base64加密一下,再到数据库中查询一下,固然这里另有时刻字段没有完成,人人本身写代码,若是婚配一般就前往用户的信息,好比用户是不是有用,用户名,用户品级。

2.用户网站受权局部完成

吸收到受权体系发送过去的受权码和原始用户名后,最先考证受权码和用户名是不是有用。

2.1 is_login.php的完成

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第13张把用户名和受权码发送到受权体系127.0.0.1(这里我是一台开辟机械以是受权体系和用户网站的地点同等)valid_login.php页面中去考证一下,受权体系的valid_login.php会前往一个json,我们推断jison前往valid的值, 就晓得用户的合法性 valid=1透露表现用户有用,valid=0 透露表现用户有效,sid是用户的品级,***照样普通用户。

打造刀郎平安PHP体系 · 续_Sunbet 申博  Web安全 刀郎 第13张把用户名和受权码发送到受权体系127.0.0.1(这里我是一台开辟机械以是受权体系和用户网站的地点同等)valid_login.php页面中去考证一下,受权体系的valid_login.php会前往一个json,我们推断jison前往valid的值, 就晓得用户的合法性 valid=1透露表现用户有用,valid=0 透露表现用户有效,sid是用户的品级,***照样普通用户。

总结

经由过程下面的打造,我们曾经完成的用户信息和网站内容星散的结果,如许做的优点能够防备一些程序员偷工减料,致使用户信息泄漏的局势,我这里全程用户信息用base64加密能够防备sql注入xss等进击。

*本文作者刀郎,转载请说明来自FreeBuf.COM

,

申博车视网【www.che59.net】

申博车视网,一个最专业的汽车视频信息,汽车评测,新车试驾,热点事件评测,保养,买车,用车精彩视频都在申博太阳城这里!

网友评论