淺析PHP網站設計中信息安全防御策略

馬爽

（遼源職業技術學院，吉林 遼 源 1 36200）

網絡在給人們帶來方便快捷的同時，也存在較大的信息安全隱患。網站的設計關系到國家的政治、經濟、文化、社會生活等各個方面，延伸的范圍非常廣。幾乎每個企業或每個部門都有自己的專屬網站，而各個部門之間的交流溝通也大多通過網絡來進行。

1PHP網站設計中信息安全存在的問題

目前，在對PHP網站進行編碼的過程中，存在程序員信息安全意識不高，沒有對用戶所輸入的信息進行安全驗證等現象。因此，會間接導致計算機內部的安全操作系統被不法分子所利用，使得一些錯誤、有害的指令也會被當作正確的合法指令來運行，進而導致網站的信息會發生泄露，從而侵犯了用戶的隱私，給用戶的信息安全帶來不利影響。

1.1 有sql的注入

從廣泛的意義上講，網站的程序設計員需要在編寫網站代碼的過程中對用戶輸入數據的合法性進行分析與判斷，進而防止網站信息泄露［1］。如果網站的程序設計員在編寫網站代碼的過程中忽視了這項操作，用戶就可以通過提交數據庫查詢代碼的方式來根據程序返回的結果獲取相關數據信息，這就是注入sql。注入sql容易導致網站用戶的信息發生泄露，所以相關網站的程序設計員要對用戶所輸入的數據進行合法性的判斷與分析，進而提高網站的信息安全。

1.2 會發生or1=1及union語句的入侵現象

注入or1=1主要是可以在登錄某個網站系統時，繞過相應的密碼驗證，進而利用一個任意的用戶名來登入系統，從而達到入侵系統的目的。這是一種在網絡中運用較為廣泛的語句注入模式。這種注入模式主要是利用了程序員在編寫驗證代碼時，沒有對用戶輸入信息中是否含有非預期的字符進行判斷，直接將用戶的操作請求傳達給計算機函數來執行。這種注入語句的方式使得密碼驗證變得可有可無，不法分子可以直接繞過密碼驗證來入侵系統，進而輕而易舉地獲取到相關用戶的信息［2］。與or1=1語句注入所不同的是，union語句可以通過自身的特殊性來使程序的默認語句出錯。并通過計算機程序執行union后，通過自己構建的sql語句來達到注入語句的目的，進而入侵到內部程序中。

1.3 存在xss跨站攻擊

xss是一種較為常見的網站攻擊方式，它的工作原理跟sql相差不大，只是xss主要是通過JavaScript的腳本注入到html標簽中，進而將惡意內容輸入網頁輸入框中。當這些惡意內容重新回讀到網站的客戶端時，網站瀏覽器會自動運行這些惡意腳本，進而通過影響網頁的正常顯示來達到注入腳本的目的。通過代碼植入網頁的方式來利用xss漏洞控制計算機操作系統，進而黑客利用安全漏洞來編寫惡意程序，從而破壞計算機操作系統的穩定性。黑客利用xss來攻擊頁面，使得計算機用戶在瀏覽網站時會自動彈出一些窗口。黑客就是利用這些窗口來給網頁掛上相應的木馬病毒，進而讓網站用戶的計算機系統感染病毒，以此來獲取相關用戶的信息。

2 對PHP網站設計中的信息安全進行防御的具體措施

2.1 使安全防御措施對用戶公開、透明

在保護網站的信息安全時，要讓安全防御措施對用戶公開、透明。讓用戶不能直接跳過信息安全保護驗證，進而讓計算機網站運行操作更為安全。最直接的方法就是在用戶進入網站系統之前，首先要輸入相應的用戶名及密碼，進而達到保護網站信息安全的目的。

2.2 跟蹤數據運行流程

任何一個合格的網站程序員都會對用戶的數據進行隨時跟蹤，通過掌握信息動向來防止發生信息泄露的問題。對數據信息進行跟蹤是一種難度較高的信息監測方法，特別是在一些程序開發者不能熟悉該原理的情況下，會無法深入理解web的運作原理，進而在程序開發過程中出現失誤，并產生一定的安全漏洞。

2.3 篩選輸入信息

對用戶所輸入的信息進行必要的篩選是保證網站信息安全的必要手段，也是對輸入的驗證信息進行合法化的過程。相關網站工作者通過對用戶所輸入的信息進行確認并篩選，這種方法可以避免一些網站病毒在未知的情況下被誤用。

2.4 防止注入sql

在目前來講，網絡的系統注入方式較為豐富，但在注入方面都存在一個共同點，就是利用程序缺乏必要的過濾手段這個缺點，以此來達到非法獲取用戶信息的目的。所以，要防止非法語句的注入，就要對查詢語句進行必要的篩選及過濾。通常意義上，是利用計算機運行程序里的函數通過正規的表達式來進行常用語句的匹配，并對相應的語句進行必要的篩選及過濾。所以，只要利用了過濾函數，就可以在較大程度上避免出現利用注入語句的方式來入侵網站的現象，從而達到保護網站用戶信息安全的目的。

3 結語

本文對PHP網站設計中幾種常見的信息安全漏洞進行了探索與分析，并對如何加強PHP網站設計的信息安全進行了研究與探討。在對網站信息安全進行維護的具體過程中，并沒有一個固定的模式。因此，我們需要具體情況具體分析，靈活運用相關措施來保護用戶的隱私，從而在一定程度上維護網站用戶的信息安全。

［1］ 王堯.關于PHP網站設計中信息安全防御措施淺析［J］.電子技術與軟件工程，2014，（15）：207.

［2］ 羅有明，賀熹.PHP網站設計中信息安全防御的研究［J］.科技經濟市場，2011，（03）：7-9.