目前，ASP、.NET、PHP、JSP是網(wǎng)站建設(shè)使用最廣泛的編程語言。其中，PHP不受平臺限制，開發(fā)速度快，性能高，可應(yīng)用于UNIX或WIN平臺。嗯，實(shí)際使用起來很方便，已經(jīng)成為主流的網(wǎng)站開發(fā)編程語言，所以PHP開發(fā)語言也存在大量的安全漏洞值得我們關(guān)注。

文件漏洞

為了方便用戶訪問網(wǎng)站開發(fā)，PHP避免在每個客戶進(jìn)入頁面時(shí)都輸入賬號和密碼設(shè)置，因此成為了很多黑客的攻擊手段。

SQL 注入漏洞

SQL注入攻擊是黑客攻擊數(shù)據(jù)庫的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，越來越多的程序員使用這種模式來編寫應(yīng)用程序。但是網(wǎng)站開發(fā)，由于程序員的水平和經(jīng)驗(yàn)也參差不齊。程序員在執(zhí)行網(wǎng)站開發(fā)時(shí)網(wǎng)站開發(fā)，由于對用戶輸入的數(shù)據(jù)缺乏綜合判斷，很容易導(dǎo)致服務(wù)器執(zhí)行一些惡意信息，這是應(yīng)用程序中的潛在安全隱患。

腳本執(zhí)行漏洞

腳本執(zhí)行漏洞的常見原因是程序員在開發(fā)網(wǎng)站時(shí)過濾用戶提交的URL參數(shù)，用戶提交的URL可能包含導(dǎo)致跨站腳本攻擊的惡意代碼。但是隨著PHP版本的升級，這種問題逐漸消失了。

全局變量漏洞

由于PHP中的變量可以不用聲明直接使用，所以在使用時(shí)系統(tǒng)會自動創(chuàng)建，系統(tǒng)會根據(jù)上下文自動判斷變量類型。這種方法可以大大降低程序員編程出錯的概率，使用起來非常方便，但也是造成安全隱患的重要原因。

文件漏洞

文件漏洞通常是由于網(wǎng)站開發(fā)作者在設(shè)計(jì)網(wǎng)站時(shí)缺乏外部提供的數(shù)據(jù) 充分的過濾導(dǎo)致黑客利用漏洞在Web進(jìn)程上執(zhí)行相應(yīng)的命令。如果lsm.php中包含這樣一段代碼：($b.”/aaa.php”.)，對于黑客來說，遠(yuǎn)程攻擊可以通過變量$b來實(shí)現(xiàn)，也可以是黑客自己的代碼來實(shí)現(xiàn)攻擊網(wǎng)站。可以向服務(wù)器提交a.php = 1/b.php，然后執(zhí)行b.php的指令。

但是，這些防止黑客入侵的方法只能幫助網(wǎng)站盡可能地做一些預(yù)防，而且未必100%有效。從服務(wù)器、空間等入手，只有選擇優(yōu)質(zhì)的防篡改產(chǎn)品才能更好地保證質(zhì)量網(wǎng)站優(yōu)化，幫助網(wǎng)站預(yù)防和發(fā)現(xiàn)問題并及時(shí)處理。