关于PHP的网站设计论文

1PHP网站编码过程中存在的问题

1.1防范sql的注入

一般来说，网站设计的程序员在进行编写代码使需要对用户输入数据的合法性进行判断，防止信息轻易被泄露，但是如果程序员在网站设计时没有进行这项操作的话，用户就可以通过提交数据库查询代码的方式。根据程序返回的结果获得用户想知道的数据信息资料，这就是所谓的sql注入。Spl的注入很容易就可以使信息被泄露，因此，网站的程序员一定要对用于输入的数据进行合法性判断，对信息安全进行防御保护。

1.2or1=1以及union语句的注入

‘or1=1’注入是指在登录某系统时可以绕过密码验证，利用任意用户名登入系统内的侵入方式，它是网络应用中非常经典的注入语句。这种注入方式是利用程序员在编写验证程序的时候，没有验证用户的输入是否含有非预期的字符串，直接传递给计算机函数执行用户的操作请求，这种语句注入方式可以让密码匹配与否变得不再重要，而是直接绕过密码验证进入系统，轻易地获取用户资料与信息。与or1=1注入语句不同的是，union可以通过该语句的特殊性让程序原本默认的语句出错，通过让程序执行union之后自己构造的sql语句来达到语句注入的目的，并直接侵入程序内部。

1.3xss跨站攻击

xss是一种常见的网站攻击的手段。xss的工作原理与sql注入相差不大，只是xss是通过将javascript脚本注入到html标签中的方式，刻意的将恶意内容输入到网页输入框内，当这些恶意的输入内容重新读回到网站客户端时，浏览器会自动解释并执行这些恶意的脚本内容，通过影响网页的正常显示从而达到脚本片段注入的目的。

1.3.1xss探测

在判断一个网站是否存在xss漏洞是，通常需要输入探测语句进行网站漏洞监检测，首先要输入检测语句，然后找到该语句执行的地方，如果该地方有弹出窗口就意味着这个网站存在xss漏洞。如果确定该网站存在信息安全漏洞，黑客就会有很多种攻击手法侵入计算机网络内部，他们可以通过将当前的网页重定向到其他的网页中去的方式达到刷网站流量的目的，除此之外，黑客还可以通过在专享网站上挂上木马程序的手段，给网站种下病毒，一旦有不知情的用户进入该网站，他们的电脑就会自动感染上木马病毒。

1.3.2xss的利用

XSS是在web应用中经常出现的计算机安全漏洞，它通过将代码植入网页的方式利用XSS漏洞控制计算机。这种类型的安全漏洞也常常被黑客利用来编写恶意的程序。我们在有些网站进行浏览的时候，经常会出现有广告弹出的现象，黑客可以利用xss攻击页面，使那些正在浏览该网站信息的计算机用户自动弹出窗口，并且利用这种弹窗在页面挂上木马病毒，让网页用户无辜感染木马病毒，以此来获得用户信息。1.3.3利用‘iframe’标签进行xss攻击iframe的主要功能是在网页中嵌入其他网页是一个很常用的html标签，它可以通过height属性和src指定所嵌页面的具体信息。可以将页面地址设置为被挂马的网页进行cookie数据的窃取。

2安全防御常用方法

2.1安全措施对用户透明

进行网站的信息安全保护时要尽量做到安全措施对用户透明，让用户很难清除安全保护措施的应用。如果这种方法难以操作可以采用较为常见的信息安全防御措施。最直接的方式就是在用户访问受控信息或服务之前，让他们输入用户名和密码，这也是一种比较好的常用的信息安全保护措施。

2.2对数据进行随时跟踪

任何一个有责任意识的网络程序开发者，都会对数据进行随时的跟踪。通过对数据信息的动向进行跟踪观测防止出现信息安全问题。数据信息的时时跟踪其实是一种比较有难度的信息监测手段，特别是一些开发者对该运用原理不够了解的情况下，进行尤其是当你对web的运做原理没有进行深入理解时。一些开发者虽然对网站的开发环境很有经验，但是对web不是很有经验的时候，就会在程序开发中犯错并制造安全漏洞。

2.3对输入信息进行过滤

对输入的信息进行过滤的方法是保证网络信息安全的重要条件，也是验证输入的数据合法性的过程。通过对用户输入信息的确认对数据进行过滤。这种信息过滤的方式可以避免一些病毒在未知的情况下被误用。目前大多数常用的php应用都存在缺少数据过滤引起信息安全漏洞。

2.4如何防止sql的注入

虽然网络系统的注入的手段很丰富，但这些注入方式都有一个共同点，就是它们都是利用程序没有信息过滤这一弱点。因此，如果要防止非法注入，也就需要对查询语句进行过滤，一般来说，计算机程序的函数是通过正则表达式进行常用语句匹配并对这些语句进行过滤。因此，只要采用了过滤之后的函数，利用注入的方式侵入系统的话都会是失败的。

3结束语

本文通过对网站设计中常见的几种信息安全漏洞进行分析，并提出了几种解决这些安全漏洞的防御措施，在一定程度上有利于信息的维护。

作者：王尧单位：江苏理工学院计算机工程学院