最近在研究php的安全性語法,先前開發的網站,都沒有遇到惡意的攻擊,算是我運氣好。
兩個大的災情是XSS(跨站攻擊)和SQL injection(SQL注入語法攻擊),目前找到可以過慮XSS攻擊的語法,但是在SQL Injection攻擊,也有看到,但是操作起來很複雜。
看到網路上很多人公開相關的元件和組合包,我這裡就介紹一下。
1.HTML Purifier
這套工具不僅將消除所有的惡意程式代碼(比如說 XSS攻擊代碼),從頭到尾的仔細查核,也可以設定寬容的安全白名單,在符合W3C標準的條件下,可以確保您的文件安全性。
2.HTML Sanitizer
這是一個可以移除惡意標籤的程式類別(Class),我裝起來試用了,還不錯用,可以拿來處理一一下可能潛藏危險的資料。
3.htmLawed
也是針對XSS攻擊防護的一套處理工具,有線上測試,用起來不錯用,但是沒有看到這套工具對SQL injection的防護。
4.Secure PHP HTML parser and filter
可以處理XSS,也可以處理跨站請求偽造(cross-site request forgery CSRF,XSRF),看起來功能不錯用檔案也才47K,單檔就可以執行。
看了一下運作原理
大部份的程式,和我認真的觀念相似
也有一些地方寫的不錯,值的參考
HTML Sanitizer
隨機文章
- 可以在Facbook上做行銷的Apps (2011-07-16)
- 燦坤網路購物在個資上耍了什麼寶? (2013-01-13)
- 開心農場 開心農民 (2009-12-10)
- LINUX 純文字環境中 安裝rclone (2017-12-28)
- 【台灣奇茂購物網】創見Transcend MLC 256GB 2.5吋 SSD 256G MLC只要$1830 (2011-10-08)
隨機美圖
