淺析PHP網(wǎng)站設(shè)計(jì)中信息安全防御策略

馬爽

（遼源職業(yè)技術(shù)學(xué)院，吉林 遼 源 1 36200）

網(wǎng)絡(luò)在給人們帶來(lái)方便快捷的同時(shí)，也存在較大的信息安全隱患。網(wǎng)站的設(shè)計(jì)關(guān)系到國(guó)家的政治、經(jīng)濟(jì)、文化、社會(huì)生活等各個(gè)方面，延伸的范圍非常廣。幾乎每個(gè)企業(yè)或每個(gè)部門(mén)都有自己的專(zhuān)屬網(wǎng)站，而各個(gè)部門(mén)之間的交流溝通也大多通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行。

1PHP網(wǎng)站設(shè)計(jì)中信息安全存在的問(wèn)題

目前，在對(duì)PHP網(wǎng)站進(jìn)行編碼的過(guò)程中，存在程序員信息安全意識(shí)不高，沒(méi)有對(duì)用戶(hù)所輸入的信息進(jìn)行安全驗(yàn)證等現(xiàn)象。因此，會(huì)間接導(dǎo)致計(jì)算機(jī)內(nèi)部的安全操作系統(tǒng)被不法分子所利用，使得一些錯(cuò)誤、有害的指令也會(huì)被當(dāng)作正確的合法指令來(lái)運(yùn)行，進(jìn)而導(dǎo)致網(wǎng)站的信息會(huì)發(fā)生泄露，從而侵犯了用戶(hù)的隱私，給用戶(hù)的信息安全帶來(lái)不利影響。

1.1 有sql的注入

從廣泛的意義上講，網(wǎng)站的程序設(shè)計(jì)員需要在編寫(xiě)網(wǎng)站代碼的過(guò)程中對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行分析與判斷，進(jìn)而防止網(wǎng)站信息泄露［1］。如果網(wǎng)站的程序設(shè)計(jì)員在編寫(xiě)網(wǎng)站代碼的過(guò)程中忽視了這項(xiàng)操作，用戶(hù)就可以通過(guò)提交數(shù)據(jù)庫(kù)查詢(xún)代碼的方式來(lái)根據(jù)程序返回的結(jié)果獲取相關(guān)數(shù)據(jù)信息，這就是注入sql。注入sql容易導(dǎo)致網(wǎng)站用戶(hù)的信息發(fā)生泄露，所以相關(guān)網(wǎng)站的程序設(shè)計(jì)員要對(duì)用戶(hù)所輸入的數(shù)據(jù)進(jìn)行合法性的判斷與分析，進(jìn)而提高網(wǎng)站的信息安全。

1.2 會(huì)發(fā)生or1=1及union語(yǔ)句的入侵現(xiàn)象

注入or1=1主要是可以在登錄某個(gè)網(wǎng)站系統(tǒng)時(shí)，繞過(guò)相應(yīng)的密碼驗(yàn)證，進(jìn)而利用一個(gè)任意的用戶(hù)名來(lái)登入系統(tǒng)，從而達(dá)到入侵系統(tǒng)的目的。這是一種在網(wǎng)絡(luò)中運(yùn)用較為廣泛的語(yǔ)句注入模式。這種注入模式主要是利用了程序員在編寫(xiě)驗(yàn)證代碼時(shí)，沒(méi)有對(duì)用戶(hù)輸入信息中是否含有非預(yù)期的字符進(jìn)行判斷，直接將用戶(hù)的操作請(qǐng)求傳達(dá)給計(jì)算機(jī)函數(shù)來(lái)執(zhí)行。這種注入語(yǔ)句的方式使得密碼驗(yàn)證變得可有可無(wú)，不法分子可以直接繞過(guò)密碼驗(yàn)證來(lái)入侵系統(tǒng)，進(jìn)而輕而易舉地獲取到相關(guān)用戶(hù)的信息［2］。與or1=1語(yǔ)句注入所不同的是，union語(yǔ)句可以通過(guò)自身的特殊性來(lái)使程序的默認(rèn)語(yǔ)句出錯(cuò)。并通過(guò)計(jì)算機(jī)程序執(zhí)行union后，通過(guò)自己構(gòu)建的sql語(yǔ)句來(lái)達(dá)到注入語(yǔ)句的目的，進(jìn)而入侵到內(nèi)部程序中。

1.3 存在xss跨站攻擊

xss是一種較為常見(jiàn)的網(wǎng)站攻擊方式，它的工作原理跟sql相差不大，只是xss主要是通過(guò)JavaScript的腳本注入到html標(biāo)簽中，進(jìn)而將惡意內(nèi)容輸入網(wǎng)頁(yè)輸入框中。當(dāng)這些惡意內(nèi)容重新回讀到網(wǎng)站的客戶(hù)端時(shí)，網(wǎng)站瀏覽器會(huì)自動(dòng)運(yùn)行這些惡意腳本，進(jìn)而通過(guò)影響網(wǎng)頁(yè)的正常顯示來(lái)達(dá)到注入腳本的目的。通過(guò)代碼植入網(wǎng)頁(yè)的方式來(lái)利用xss漏洞控制計(jì)算機(jī)操作系統(tǒng)，進(jìn)而黑客利用安全漏洞來(lái)編寫(xiě)惡意程序，從而破壞計(jì)算機(jī)操作系統(tǒng)的穩(wěn)定性。黑客利用xss來(lái)攻擊頁(yè)面，使得計(jì)算機(jī)用戶(hù)在瀏覽網(wǎng)站時(shí)會(huì)自動(dòng)彈出一些窗口。黑客就是利用這些窗口來(lái)給網(wǎng)頁(yè)掛上相應(yīng)的木馬病毒，進(jìn)而讓網(wǎng)站用戶(hù)的計(jì)算機(jī)系統(tǒng)感染病毒，以此來(lái)獲取相關(guān)用戶(hù)的信息。

2 對(duì)PHP網(wǎng)站設(shè)計(jì)中的信息安全進(jìn)行防御的具體措施

2.1 使安全防御措施對(duì)用戶(hù)公開(kāi)、透明

在保護(hù)網(wǎng)站的信息安全時(shí)，要讓安全防御措施對(duì)用戶(hù)公開(kāi)、透明。讓用戶(hù)不能直接跳過(guò)信息安全保護(hù)驗(yàn)證，進(jìn)而讓計(jì)算機(jī)網(wǎng)站運(yùn)行操作更為安全。最直接的方法就是在用戶(hù)進(jìn)入網(wǎng)站系統(tǒng)之前，首先要輸入相應(yīng)的用戶(hù)名及密碼，進(jìn)而達(dá)到保護(hù)網(wǎng)站信息安全的目的。

2.2 跟蹤數(shù)據(jù)運(yùn)行流程

任何一個(gè)合格的網(wǎng)站程序員都會(huì)對(duì)用戶(hù)的數(shù)據(jù)進(jìn)行隨時(shí)跟蹤，通過(guò)掌握信息動(dòng)向來(lái)防止發(fā)生信息泄露的問(wèn)題。對(duì)數(shù)據(jù)信息進(jìn)行跟蹤是一種難度較高的信息監(jiān)測(cè)方法，特別是在一些程序開(kāi)發(fā)者不能熟悉該原理的情況下，會(huì)無(wú)法深入理解web的運(yùn)作原理，進(jìn)而在程序開(kāi)發(fā)過(guò)程中出現(xiàn)失誤，并產(chǎn)生一定的安全漏洞。

2.3 篩選輸入信息

對(duì)用戶(hù)所輸入的信息進(jìn)行必要的篩選是保證網(wǎng)站信息安全的必要手段，也是對(duì)輸入的驗(yàn)證信息進(jìn)行合法化的過(guò)程。相關(guān)網(wǎng)站工作者通過(guò)對(duì)用戶(hù)所輸入的信息進(jìn)行確認(rèn)并篩選，這種方法可以避免一些網(wǎng)站病毒在未知的情況下被誤用。

2.4 防止注入sql

在目前來(lái)講，網(wǎng)絡(luò)的系統(tǒng)注入方式較為豐富，但在注入方面都存在一個(gè)共同點(diǎn)，就是利用程序缺乏必要的過(guò)濾手段這個(gè)缺點(diǎn)，以此來(lái)達(dá)到非法獲取用戶(hù)信息的目的。所以，要防止非法語(yǔ)句的注入，就要對(duì)查詢(xún)語(yǔ)句進(jìn)行必要的篩選及過(guò)濾。通常意義上，是利用計(jì)算機(jī)運(yùn)行程序里的函數(shù)通過(guò)正規(guī)的表達(dá)式來(lái)進(jìn)行常用語(yǔ)句的匹配，并對(duì)相應(yīng)的語(yǔ)句進(jìn)行必要的篩選及過(guò)濾。所以，只要利用了過(guò)濾函數(shù)，就可以在較大程度上避免出現(xiàn)利用注入語(yǔ)句的方式來(lái)入侵網(wǎng)站的現(xiàn)象，從而達(dá)到保護(hù)網(wǎng)站用戶(hù)信息安全的目的。

3 結(jié)語(yǔ)

本文對(duì)PHP網(wǎng)站設(shè)計(jì)中幾種常見(jiàn)的信息安全漏洞進(jìn)行了探索與分析，并對(duì)如何加強(qiáng)PHP網(wǎng)站設(shè)計(jì)的信息安全進(jìn)行了研究與探討。在對(duì)網(wǎng)站信息安全進(jìn)行維護(hù)的具體過(guò)程中，并沒(méi)有一個(gè)固定的模式。因此，我們需要具體情況具體分析，靈活運(yùn)用相關(guān)措施來(lái)保護(hù)用戶(hù)的隱私，從而在一定程度上維護(hù)網(wǎng)站用戶(hù)的信息安全。

［1］ 王堯.關(guān)于PHP網(wǎng)站設(shè)計(jì)中信息安全防御措施淺析［J］.電子技術(shù)與軟件工程，2014，（15）：207.

［2］ 羅有明，賀熹.PHP網(wǎng)站設(shè)計(jì)中信息安全防御的研究［J］.科技經(jīng)濟(jì)市場(chǎng)，2011，（03）：7-9.