1. SQl注入

漏洞原理：

• 使用用户的参数直接拼接sql语句
• 参数改变了原有sql语句的结构

注入方式：

• 回显注入
• 报错注入
• 盲注
• 宽字节注入

防御方法：

• 整数类处理：intval
• 字符串转义：addslashes

<?php
$str = "Is your name O'reilly?";

// 输出： Is your name O\'reilly?
echo addslashes($str);
?>

• 字符串转义：mysql_real_escape_string

注意：在PHP5及之前，magic_quotes_gpc默认是开启的，PHP6、PHP7的php.ini里没有magic_quotes_gpc的选项，实际呈关闭状态。当PHP magic_quotes_gpc=off，必须使用addslashes()对输入数据进行处理，但并不需要使用stripslashes()格式化输出 。

2. 跨站脚本攻击XSS

漏洞类型：

• js攻击

漏洞危害：

• 信息泄露，冒用身份，伪造钓鱼

防御方法：

• 常规过滤

  • 参数接受格式检查，邮箱，手机号，主键id
  • 入库时需转义格式,htmlentities() htmlspecialchars()

  <?php
  $str = "A 'quote' is <b>bold</b>";
  
  
  // 输出: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
  echo htmlentities($str);
  
  // 输出: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
  echo htmlentities($str, ENT_QUOTES);
  ?>
  
  

• 内容输出检查过滤，返回内容是否合格

3. 跨站请求伪造(CSRF)

漏洞原理：

• 服务请错把"浏览器发起的请求" 当 "用户发起的请求"
• 已登录的浏览器，打开恶意网址后，被执行了相应操作

防范措施：

• referer
• token
• 图片验证码

4. 全局变量漏洞

PHP中的变量不需要事先声明，它们会在第一次使用时自动创建，它们的类型根据上下文环境自动确定。从程序员的角度来看，这无疑是一种极其方便的处理方法。一旦一个变量被创建了，就可以在程序中的任何地方使用，这个特点导致的结果就是程序员很少初始化变量。

很显然，基于PHP的应用程序的主函数一般都是接受用户的输入（主要是表单变量，上载文件和Cookie等），然后对输入数据进行处理，然后把结果返回到客户端浏览器。为了使PHP代码访问用户的输入尽可能容易，实际上PHP是把这些输入数据看作全局变量来处理的。

＜form method="GET" action="test.php"＞
  ＜input type="text" name="hello"＞
  ＜input type="submit"＞
＜/form＞

这会显示一个文本框和提交按钮。当用户点击提交按钮时，"test.php"会处理用户的输入，当"test.php"运行时，"Tex parse error! hello"被创建，"$setup"也被创建了。 下面的用户认证代码暴露了PHP的全局变量所导致的安全问题：

＜?php
if ($pass == "hello")
$auth = 1;
...
if ($auth == 1)
echo "some important information";
?＞

上面的代码首先检查用户的密码是否为"hello"，如果匹配的话，设置"$auth"为"1"，即通过认证。之后如果"$suth"为"1"的话，就会显示一些重要信息。

这段代码假定"$auth"在没有设置值的时候是空的，但是攻击者可以创建任何全局变量并赋值，通过类似"http://server/test.php?auth=1"的方法，我们完全可以欺骗这段代码，使它相信我们是已经认证过的。

因此，为了提高PHP程序的安全性，我们不能相信任何没有明确定义的变量。如果程序中的变量很多的话，这可是一项非常艰巨的任务。

注意：register_globals模式是关闭状态。

5. 文件上传漏洞

在网站的运营过程中，不可避免地要对网站的某些页面或者内容进行更新，比如用户需要上传头像，发帖需要上传附件，商品需要上传照片等。 如果不对上传的文件进行限制或者限制被绕过，该功能便有可能被利用于上传可执行文件，脚本到服务器，进而进一步导致服务器沦陷。

漏洞类型：

• 客户端验证
• 服务端绕过

防范措施：

• 目录不可执行，如果web容器无法解析该目录下的文件，即使攻击者上传了脚本文件，服务器本身不会受影响，因此这一点至关重要
• 在判断文件类型时，可以结合MIME TYPE,后缀检查等方式，在文件类型检查中，强烈推荐白名单方式，因为黑名单的方式非常不可靠，能被攻击者轻易的绕过； 对于图片的处理，可以使用压缩函数或者resize函数，处理同时破坏图片中包含的恶意代码
• 使用随机数改写文件名和路径，文件上传如果要执行代码，则需要用户能够访问到这个文件，在某些环境中，用户能上传，但不能访问。

6. 文件包含

漏洞原理：

开发者希望代码更加灵活，很多时候会将被包含的文件设置为变量，用来进行动态调用，不过会造成文件包含漏洞的可能。 文件包含漏洞在PHP Web Application中居多，而在JSP,ASP,.NET程序中却非常少，甚至没有包含漏洞的存在。

• 本地文件包含
• 远程文件包含
• 资源文件输出

防范方式：

• 参数验证：限制参数的文件名，限制参数中的路径，预先设置参数格式
• open_basedir：配置PHP中open_basedir可以限制PHP只能打开特定目录，例如 open_basedir = /home/wwwroot/[www.test.localhost](http://www.test.localhost/)，在windows下多个目录应当用分号隔开，在linux下则用冒号隔开
• 关闭远程文件加载

7. 总结

• 别相信输入

  • 过滤参数：传入参数类型/长度/格式校验/转义（addslash()，htmlentities())
  • 过滤上传：校验上传文件格式、大小、权限（只读的或读写的，永远不能被执行）

• 别暴露自己

  • 关闭线上PHP提示错误功能
  • 敏感系统/接口网络隔离

• 管好自己

  • 严格控制文件权限
  • 禁用远程代码执行