前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >最近我的攻防记录

最近我的攻防记录

作者头像
思梦php
发布2020-03-26 10:56:56
3500
发布2020-03-26 10:56:56
举报
文章被收录于专栏:PHP实战技术

最近一直处于攻防的泥沼里面。当然我能做的就是防护,我没有能力也不会去攻击任何人!

首先交代背景:一套所谓的开源代码程序,在线上运营!当然没有二次开发(重点,要考),我也只是受人之托,来帮看看!

总结这几天我都经历了哪些攻击:

(1)字段通过url传递,直接修改数据库(坑1)

(2)XSS攻击(坑2)

(3)能登陆后台,添加管理员账号(坑3,最大的坑)

(4)DDOS攻击,这个交给了厂商

下面来说我的解决方案:

第(1)问题我是通过binlog日志找到的坑,在上一篇文章已经写了一篇,感兴趣的可以看看《有时候binlog能救你一条命》

第(2)个问题大家百度网上一大堆解决方案:过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出,代码给大家写在了下面

代码语言:javascript
复制
function replace_specialChar($strParam)
{
    $regex = "/\/|\~|\,|\。|\!|\?|\“|\”|\【|\】|\『|\』|\:|\;|\《|\》|\’|\‘|\ |\·|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/";
    return preg_replace($regex, "", $strParam);
}

第(3)个问题是最坑的,居然加了一个超级管理员,emmmm,我就有点慌了,这顶级坑啊。当然代码千千万万,我使用了一个简单快捷的方法

1.敏感操作加了一个密码,不输入密码不能操作数据(被逼无奈)

2.限制ip登陆,不是白名单ip,无权限访问服务器后台程序

3.登陆后台加一个口令,无口令用户强制退出

当然这只是其中一种解决方案,有大神能留言互相交流一下也是可以的,渴望。

至于第(4)条,我就交给服务器厂商了

至于还有哪些坑等待我来填,目前还不能确定,我目前还是一名守护者,出现问题第一时间解决问题!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-03-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 思梦PHP 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档