V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
XianZaiZhuCe
V2EX  ›  PHP

为什么都说 ecshop 在安全上有很多问题?

  •  
  •   XianZaiZhuCe · 2015-10-21 08:20:42 +08:00 · 2264 次点击
    这是一个创建于 3322 天前的主题,其中的信息可能已经有所发展或是发生改变。
    对于安全的理解,我还停留在 sql 注入...
    怎么做出一个相对安全的程序呢?
    yeyeye
        1
    yeyeye  
       2015-10-21 09:21:21 +08:00   ❤️ 1
    初级阶段
    1.服务器安全先要做好,不然其他都是白费
    2.对每个用户能输入的数据点进行检查和过滤。
    3.放程序的目录不要设置可写,放上传文件的位置设置禁止执行 php ,禁止输出 php 错误信息

    中级阶段
    4.阅读并按照安全需求修改 php 的源代码,比如识别 php 文件信息的时候,不用<?或<?php 来识别,换成其他的,这样就算别人上传了 php 文件,你的 php 也不认识它,自然也就执行不了了。
    5.阅读并按照安全需求修改 MYSQL 之类要用到的数据库,把指令名称全改掉,这样别人也没办法注入了,因为无法识别了!
    6.阅读并理解 php 和 mysql 以及 apache/nginx 的源代码,修复所有代码中的漏洞。

    高级阶段
    7.阅读系统源代码,对所有漏洞进行发掘和修复,并修改可执行文件的系统 api 名称和格式,这样就算你服务器被人上传了 exe 文件,仍然是无法执行的,因为系统也识别不了了。
    8.点击右上角的感谢功能,走上人生巅峰,迎娶高富帅。
    orFish
        2
    orFish  
       2015-10-22 14:48:11 +08:00
    @yeyeye
    不用<?或<?php 来识别

    这样 IDE 不就挂了。。
    yeyeye
        3
    yeyeye  
       2015-10-22 15:23:09 +08:00
    @orFish 用的时候(自动)替换一下关键词,都达到修改 PHP 自身的程度了,搞个自动替换关键词想必不在话下
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2767 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 07:50 · PVG 15:50 · LAX 23:50 · JFK 02:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.