[2018-3更新]
黑客攻擊時間
程式漏洞根源
web注入攻擊產生的原因是對使用者輸入沒有做注入過濾處理、不合理的資料庫操作處理如沒有使用引數化命令而是直接拼湊sql語句等
應對攻擊的解決方案
開發注意事項
1. 與資料庫互動的入口,要做好ip請求限制和資料快取處理,比如黑客用for無限迴圈請求報表統計等資料庫資源消耗很大的程式,一下子就把資料庫拖垮了。
2. 黑客發現漏洞後,可能刪除資料或者篡改資料,因此,資金表務必定時備份,否則發現資料被破壞,卻沒有還原點,就很慘了。
3. 日誌檔案可查閱,伺服器日誌檔案一般存放在乙個目錄內,檔案數量很容易膨脹到無法查詢,因此,日誌需按年/月/日/時+分類存放,sql語句、資金相關介面、非法請求的日誌要獨立存放。
4. 資料表定時任務備份(db_backup.php)任務。
5. 彙總資料定時播報任務(notify.php),資料安全要做好重要資料資訊的日誌報告,比如使用者資金增減排行榜報告、每個資料表增量統計報告,可以通過email、簡訊等傳送給指定使用者,也可以儲存到伺服器本地指定位置方便查閱。
6. 使用者資金變動,要做好資金字段上下文日誌記錄,比如變動前資金多少,變動後資金多少,方便查證資料篡改,可以從變更日誌中批量推斷出使用者某個時間點的具體真實數值。
7. 每個入口應該有個全域性方法,可以單純對使用者輸入的資料做一次注入檢測,當檢測到有注入攻擊時,記錄到日誌中。
8. 對使用者輸入**做好資料驗證,比如表單提交、ip位址等,防止通過url注入或構造虛假ip注入攻擊。
注入攻擊檢測**
function sql_injection($str)}
參考文章
sql注入(sql injection)案例和防禦方案
php使用者輸入安全過濾
xss/csrf跨站攻擊和防護方案
ddos攻擊、cc攻擊的攻擊方式和防禦方法
**常見的入侵手段和防禦方法
黑客入侵 認識黑客入侵的利器「嗅探神器「
ont en tcontent conten t 享入 侵微軟在 wi n2000,x p中設定 的這個功 能對個人 使用者來說 幾乎毫無 用處。反 而成了黑 客入侵n t架構操 作系統的 一條便利 通道。如 果你的操 作系統存 在不安全 的口令,那就更可 怕了。一 條典型的 入侵流程 如下 1 用...
開源與「黑客」入侵
請不要因為沒吃過豬肉,也沒見過豬跑,就否認這世界上有豬的存在 更沒必要國為2007是豬年一下子變得跟豬一樣 可愛 開源最原始的說法就是開放源 而黑客已經是it業乃至社會大眾都耳熟能詳的名詞了,就連上學 年級的小強都經常信誓旦旦的說 我長大要做一名黑客!全世界的黑客非常多,因為性質不同可以細化成cra...
開源與「黑客」入侵
請不要因為沒吃過豬肉,也沒見過豬跑,就否認這世界上有豬的存在 更沒必要國為2007是豬年一下子變得跟豬一樣 可愛 開源最原始的說法就是開放源 而黑客已經是it業乃至社會大眾都耳熟能詳的名詞了,就連上學 年級的小強都經常信誓旦旦的說 我長大要做一名黑客!全世界的黑客非常多,因為性質不同可以細化成cra...