用php编辑文件的所有方法？(安全)

Question

我的网站有一些严重的安全漏洞。在保护the服务器之后，我现在将保护我的php文件。

因此，我想知道由于我的php脚本中的漏洞，所有的方法都可能被用来上传或编辑php文件。

Answer 1

如果你的was服务器被破坏了，就没有办法重新安装整个was服务器了！如上所述，可能已经安装了rootkit。我猜通过“保护you服务器”，你也重新安装了它？

这完全取决于你的all服务器托管的是什么。如果您使用任何类型的CMS (joomla，...)或论坛，请检查这些内容的更新。

我同意上面提到的事情：

• 检查您的用户可以在哪里上传图像或其他文件
• 检查您在php文件中的包含:如果您使用动态包含(即:include($_GET‘’sitename‘。'.php');)然后请将这些项目列入白名单进行检查。这意味着只有已知的站点才应该被包括进来，
• 查看你的PHP日志(你可以在你的php.ini中找到你的php日志的路径)。这些日志(特别是通知和警告)给出了大量关于程序中缺陷的提示。您可能会发现攻击者是如何在那里危害您的服务器的(如果您知道服务器何时是attacked)
• While的，您就在那里:检查SQl注入。用于"eval“和诸如"exec”(http://at2.php.net/manual/en/book.exec.php)

之类的系统执行函数的(http://php.net/manual/de/security.database.sql-injection.php)

• Search

Answer 2

叹息，成百上千。在代码中应用适当的安全检查，看在老天的份上，不要为web用户创建任何可写/可执行的东西，这是不应该的(不要像人们似乎沉迷于懒惰的地毯式0777 )。

Answer 3

最常见的问题之一是像include($_REQUEST['site'].'.php')这样的代码，如果php.ini中未禁用allow_url_include，则会允许攻击者包含来自远程服务器的代码