qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

由被WebInspect攻击引发的php header()使用问题

 最新做的一个项目,被测试组猛烈攻击,暴露了不少问题。其中一个问题印象深刻!
  测试使用了WebInspect这个扫描工具,扫描了整个网站,包括后台。结果我们的数据库里被灌入大量的垃圾数据,并修改了原有的数据。总之,惨不忍睹!
  后来,我们发现我们后台的一个简单的检查是否登录的方法有问题:在判定未登录时,使用php header()跳转页面,没有在这个方法执行后退出执行。这样的话,页面跳转,但在header()下面的代码依然会执行。
  现总结下php header()使用时注意的问题:
  1、location和“:”号间不能有空格,否则会出错。
  2、在用header前不能有任何的输出。
  3、header后的PHP代码还会被执行。记得加exit() 或者die 退出。
  另外,后台登录地址注意安全,不让他人轻易猜到!

posted on 2014-09-28 10:41 顺其自然EVO 阅读(202) 评论(0)  编辑  收藏 所属分类: 测试学习专栏


只有注册用户登录后才能发表评论。


网站导航:
 
<2014年9月>
31123456
78910111213
14151617181920
21222324252627
2829301234
567891011

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜