探讨如何应对基于PHP技术开发的Web应用程序漏洞

探讨如何应对基于PHP技术开发的Web应用程序漏洞
王领
（沈阳职业技术学院，辽宁沈阳110000）
摘要：目前在网络技术开发当中已经广泛应用Web应用程序，然而该程序在应用期间存在漏洞问题，因此需要借助PHP 技术为Web应用程序提供服务端脚本语言，全面加强网络信息安全性。

此次研究主要分析了Web应用程序漏洞问题，并且研究了PHP文件上传技术的应用，在此基础之上提出避免文件上传漏洞的有效措施，希望可以为Web应用程序的开发研究提供重要依据。

关键词：PHP技术开发；Web应用程序；漏洞分析
中图分类号：TP393文献标识码：A文章编号：1673-1131（2019）01-0171-02
随着互联网技术的快速发展，在社会生产生活的各个领域都开始应用互联网技术。

然而需要注意的是，在应用互联网技术期间还存在较多安全隐患，需要对各项漏洞问题进行有效控制，全面提升网络技术的应用安全性。

1Web应用网络漏洞分析
网络技术的发展为人们的生产生活提供了较多便利，在应用网络技术期间应用程度最高的就是Web应用程序。

人们在应用Web应用程序文件上传时遭受的攻击问题发生率最高。

通常来说，大多数WEB站点中包含登录功能和注册功能。

用户在登录账号之后可以上传头像和附件等资料，大多数网站在验证和检测文件上传时不够严格，导致验证方式存在较多隐患。

现阶段我国主要利用PHP技术对Web应用程序漏洞进行分析和研究的文献资料比较少，因此需要注重对该领域的研究分析。

2如何在开发时避免漏洞问题
在开发Web应用程序时需要热点保护，输入校验和输出校验等三层安全防线。

对于输入校验来说，在对应用程序进行开发时所出现的安全漏洞问题主要是由于目标应用程序没有对输入数据进行正确校验。

因此导致应用程序需要全面分析所有恶意输入，直到可以验证其合法性，这就导致应用程序需要覆盖较多不可信环境当中存在的所有数据。

输入校验属于应用程序开发的首道防线，其作用在于可以对应用程序允许输入范围进行缩小，可以对用户提供数据进行验证。

对于热点防护来说，在验证输入校验之后，由于无法实现全方位验证，导致输入验证存在局限性，因此需要防护热点。

热点主要是应用程序中可能会存在某种漏洞的代码。

此种技术最重要的做法就是数据库当中的预处理语句，也将其称为参数化查询。

对于输出校验来说，在发送进程输出之前开展校验工作，可以防止用户接收到无用信息。

若发送至浏览器的数据需要显示在网络页面上，则需要进行百分号编码，此问题主要取决于百分编码在网络页面上的位置。

3PHP文件上传技术的应用
基于PHP技术能够帮助Web应用网络正常运行，在上传文件资料时主要包括以下两个问题。

第一，详细显示表单页面。

该操作主要是在客户端执行，完成该环节之后选择需要上传的文件，并且提交表单。

此时在文件上传过程中就会通过httppost方式传达的服务器中。

第二，表单处理页面。

利用PHP技术的Web程序上传文件之后，将会将其存储在默认临时目录中，在对临时目录进行设置时，则需要对各运行变量进行处理，同时还应当按照Web应用程序系统设置全局变量数组的各个字段。

在表单处理页面执行操作时需要注重数组操作问题，判断文件大小和类型以及移动文件等。

通过攻击实例进行分析，在设计代码时如果采用以下语句对数据库中的数据进行读取：＜＄q＝“SELECT'id' FROM'users'WHERE'username'＝.$_GET['username'].”' AND'password'＝'“.$_GET['password'].”'”；＞。

若此时黑客攻击数据库，则其会再次登录页面的用户名输入框中输入以下代码“SHOW TABLES”；之后点击登录按键，此时该页面就会显示出数据表中的所有列表，黑客就可以使用相关命令删除
7TLD跟踪器
TLD（Tracking-Learning-Detection）是英国萨里大学的一个捷克籍博士生Zdenek Kalal在其攻读博士学位期间提出的一种新的单目标长时间跟踪（long term tracking）算法。

TLD算法解决了长时间跟踪过程中，对象可能会消失然后再次出现，导致无法重新开始跟踪的问题。

当目标连续移动时，TLD跟踪器能持续不断地检测，掌握目标在角度、距离、景深等方面的变化，并实时识别它们。

顾名思义，TLD技术有三部分组成：跟踪模块、检测模块和学习模块。

作者提出把跟踪模块和检测模块结合，同时增加机器学习以提高结果的准确度。

检测模块与其他目标检测方法一样，可能会出现错误，但是，学习模块可以根据跟踪模块的结果对发现评估模块的错误，并根据结果生成训练样本以更新目标模型及相关参数，同时对跟踪模块的“关键特征点”进行更新，以避免将来出现类似的错误。

这样使得整体的目标跟踪效果更加稳定，强大且可靠。

目前，基于此的研究正在逐步增加，但在实践中，由于该算法还比较年轻，其应用还不是很多，但可以相信该算法未来的应用将会非常广泛。

8结语
视觉跟踪作为计算机视觉研究领域的一个重要的研究方向，最近几年各种算法层出不穷，性能也是一直在飙升，虽说是应接不暇，但是也激发了人们更大的学习兴趣。

可以看到，不同的跟踪算法各有其优缺点。

在视觉跟踪技术的实际应用中，研究人员可以综合考量上述算法，根据使用环境和具体需求，对算法进行整合和改进。

作者简介：忻亦敏（1994-），女，上海人，硕士研究生，研究方向：
数字图像处理。

１７１
表格。

以上分析主要是通过举例分析黑客攻击原理，实际注入的复杂性比举例要高出很多。

黑客会花费大量精力尝试各种攻击行为攻击代码。

某些程序软件可以自动尝试注入攻击行为。

在明确注入的攻击原理之后，就可以对注入攻击进行有效预防和控制处理。

4针对文件上传漏洞的对策分析
由于在Web应用期间多数文件存在上传漏洞问题，因此需要采用有效措施进行应对和防范。

4.1文件内容检测
从Web应用程序实际需求角度进行分析，全面检测文件内容，并做好科学设计工作。

在对文件内容进行检测是需要关注用户上传文件的实际程序，避免其存在恶意代码。

若Web 应用程序的安全要求较低，则只需要对PHP进行检测就可以实现，此种模式下可以应用较多方式。

例如，在字符串作用下，可以对PHP函数中的危险性进行查找和判断，常见危险主要包括system和eval。

对于高级PHP技术来说能够有效实现数字和无ASCⅡ码。

当前，某些PHP技术在应用期间可以通过一定手段对检测程序和软件的查杀进行规避，例如system 和eval等，可以有效隐藏关键字，拆分PHP技术内容，将其划分为不同执行数据，进而可以实现数据传递。

全面分析和研究PHP技术规避检测方法，该技术所对应的执行数据内容隐藏性比较良好，属于变形程序结构。

不容忽视的是，在经历多样化类型变形之后，在对相应函数进行执行时需要充分发挥出system和eval方式的作用。

有效应用杀毒软件也可以起到预防效果，对Web应用程序当中的木马病毒进行查询，可以全面考察出异常行为情况。

在实际应用期间需要收集相应行为数据，并且能够使用system和eval敏感行为数据。

在PHP技术作用下可以实现hook。

对于eval来说，其属于语法结构。

在此基础之上需要调用zend_compile_string函数，并且上报所有数据，这样就会返回到原始zend_compile_string函数当中，实现完整性比较强的hook。

此外，还需要检测隐藏的执行数据，一般来说，人们在应用语言和命令时很难花费较多时间和精力进行隐藏处理，若在运行期间检测到明显隐藏行为，就可以认定存在异常情况。

例如，在执行某个函数之后，然而，从相关代码库当中无法找到函数名内容，就可以将其判断为异常行为。

4.2PHP安全模式的优势分析
在网络行为执行期间，服务器属于重要支撑。

在应用过程中若存在多个用户共享机制，这为了确保监测效果的真实性，需要开启PHP安全模式。

开发和设置安全模式可以全面处理若干个用户同时共享所导致的安全性降低问题。

在应用PHP安全模式时，则需要基于safe_mode数值进行修改，确保其始终处于开启状态。

与此同时，还应当进行Apache重启作业。

在Web应用程序中应用PHP安全模式的效果比较良好，可以充分发挥出各项管理功能的作用，深入分析主要表现在以下几个方面：第一，在设置和执行访问限制工作时具有较高的灵活性，可以从目标文件所有权和脚本所有权方向出发，对方问权限进行重点控制，加强管理客户访问源头，这样可以在较大程度上降低网络异常行为的发生率。

第二，有效限制可以使用的函数和可以执行的命令，此限制行为具有根据，主要是从网络程序和行为方面出发，并按照实际需求做好相关设置工作。

第三，杜绝发生文件上传的安全隐患问题。

在文件上传期间，安全模式可以确保上传过程中不存在安全问题。

在开启安全模式之后，可以全面展现出服务器的应用效果。

需要注意的是，安全模式还会导致PHP函数产生限制，影响后续环节的正常使用。

为了全面确保PHP安全模式的有效应用，则需要对配置选项问题进行控制。

例如，在safe_mode_gid正常运行状态下，PALSE属于默认值。

再次运行状态下开启相关文件可以对文件所属用户进行对比分析，若存在相同情况，则处于被打开状态下。

为了拓宽文献开启权限，则需要将运行状态改为TURE默认值。

在安全模式开启期间，为了确保应用程序的稳定性和安全性，需要深入分析和研究各执行命令，并对其运行状态进行限制。

在安全模式中应用disable_ classes时，需要利用逗号对类名列表进行隔离，并且将其作为参数进行设计。

5结语
综上所述，在实际应用Web应用程序期间，上传漏洞问题属于不可避免的应用问题，需要深入分析和研究Web应用程序文件上传漏洞问题。

，并且使用各项有效措施对该问题进行应对处理。

基于PHP技术可以重点观测文件上传漏洞和攻击问题，并且给予有效措施进行防范，全面提升服务器安装配置效果，最大限度提升Web应用程序的运行安全性和稳定性。

与此同时，PHP技术还可以对文件内容进行检测，全面发挥出PHP安全模式的应用优势，确保各项效果的有效发挥。

在应用程序设计开发期间不能信任用户输入数据，需要全面审查用户输入数据。

如果涉及到脚本问题，则必须按照相关标准进行编码和转码操作，并且对所有网址进行检查，仔细辨别用户所提供的网址不属于第三方。

在此期间不能为用户提供过于详细的错误提示，若需要进行登录验证，只需要提示用户密码错误。

编码和过滤输入到网页的各类信息，避免执行HTML 编码。

参考文献：
[1]刘晓知.论如何应对基于PHP技术开发的Web应用程序
漏洞[J].电脑编程技巧与维护,2018,22(10):167-168+173. [2]包冉.论如何应对基于PHP技术开发的WEB应用程序漏
洞[J].职大学报,2018,12(02):73-75.
[3]陈震杭,王张宜,彭国军,夏志坚.针对未知PHP反序列化
漏洞利用的检测拦截系统研究[J].信息网络安全,2018,26
(04):47-55.
[4]杨兰.基于机器码学习的跨域应用程序的Web技术研究
[J].自动化与仪器仪表,2017,13(12):181-183+186.
[5]何金栋.基于PHP的Web应用SQL注入漏洞检测系统的
设计和实现[J].电子测试,2017,25(24):72-73+45.
[6]刘文元.基于技术的Web应用程序的代码安全
性检测[J].信息通信,2015,11(12):106-107.
[7]邢益良,韩宝如,裴云,雷华军.一种使用Web技术快速搭建
Android PHP应用运行环境的方法[J].软件导刊,2015,14
(11):11-13.
[8]孙大雷.Web2.0技术在远程教学组织中的应用——VB程
序设计课程教学试点平台的使用[J].电大理工,2015,26
(02):24-25.
信息通信王领：探讨如何应对基于PHP技术开发的Web应用程序漏洞
１７２。