王玲玲

摘 要：網(wǎng)絡(luò)信息技術(shù)的發(fā)展也加快了信息產(chǎn)業(yè)開發(fā)的步伐，為人們的生活工作帶來了諸多便利，但同時也為信息安全帶來了很多隱患問題。信息網(wǎng)絡(luò)的發(fā)展直接關(guān)系著國家政治、經(jīng)濟、文化、社會等各方面的發(fā)展，涉及范圍較廣。同時，信息技術(shù)也會影響個人的工作生活，數(shù)據(jù)信息的泄露不但會影響居民的正常生活，甚至還會影響國家政治經(jīng)濟的安全。而PHP技術(shù)則是一種內(nèi)嵌式語言，它可以較為平穩(wěn)的運行于程序平臺中，但網(wǎng)站設(shè)計中，PHP也比較容易受到外部攻擊，因此在PHP網(wǎng)站設(shè)計過程中應(yīng)做好相應(yīng)的信息安全防御措施。

關(guān)鍵詞：PHP網(wǎng)站；設(shè)計；信息安全；防御措施

1.PHP簡介

作為一種內(nèi)嵌式語言，PHP技術(shù)在動態(tài)網(wǎng)頁方面具備更快執(zhí)行速度，自誕生至今，PHP技術(shù)已經(jīng)被廣發(fā)應(yīng)用于2000多萬個網(wǎng)站中，成為全球最普及的互聯(lián)網(wǎng)開發(fā)語言。近年來，隨著PHP技術(shù)的不斷完善，其已經(jīng)由網(wǎng)絡(luò)開發(fā)語言逐漸發(fā)展成為適合企業(yè)部署的技術(shù)平臺，西門子、IBM等知名公司也開始廣泛使用PHP技術(shù)。最早期的PHP技術(shù)主要具備訪客留言與訪客計數(shù)等功能，隨著后期的開發(fā)利用，PHP技術(shù)開始加入mSQL支持，進而提升了動態(tài)網(wǎng)頁開發(fā)的執(zhí)行力。

2.PHP網(wǎng)站設(shè)計中存在的信息安全問題

實際PHP編碼設(shè)計過程中，由于程序員并不具備足夠的安全防御意識，導致設(shè)計過程中，沒有認真檢驗輸入信息的可靠性與安全性，使得計算機內(nèi)部的操作系統(tǒng)極易被不法分子利用，導致錯誤指令會被當做正確指令使用，從而造成了用戶信息的泄露現(xiàn)象，嚴重侵犯了用戶信息的隱私。

2.1sq1注入

由廣義層面看來，網(wǎng)站程序設(shè)計員需要在網(wǎng)站代碼編程過程中合理判斷用戶輸入數(shù)據(jù)的合法性與安全性，從而杜絕網(wǎng)站信息的泄露行為。但如果網(wǎng)站程序員忽視了這一操作，用戶就可以利用提交數(shù)據(jù)庫查詢代碼的方式，并根據(jù)數(shù)據(jù)返回結(jié)果獲取信息，這便是注入了sq1。這種錯誤操作很容易導致網(wǎng)站用戶信息的泄露，因此，程序員需要在網(wǎng)站設(shè)計過程中認真判斷分析所輸入數(shù)據(jù)的合法性，從而進一步提升網(wǎng)站信息的安全性。

2.2發(fā)生or 1=1與union語句入侵

注入or 1=1，可以使不法分子在登錄網(wǎng)站時避開密碼驗證過程，從而可以利用任意的使用名便可以隨意進入信息系統(tǒng)，從而達到侵入目的，這也是網(wǎng)站設(shè)計中應(yīng)用最為廣泛的語句注入模式，它主要是程序員在編寫代碼過程中，并未認真檢測所輸信息是否含有非預(yù)期的字符，而是直接將客戶的需求傳達給計算機的函數(shù)系統(tǒng)進行識別。這種注入方法會使密碼驗證失去原有的保護作用，不法分子可以利用漏洞直接侵入網(wǎng)站系統(tǒng)，從而可以容易的獲得所有用戶的數(shù)據(jù)資料。而與Or 1=1語句注入侵入不同的是，union語句則可以使程序的默認語言出現(xiàn)混亂，計算機在執(zhí)行union程序后，會利用自身的sq1注入語句，從而侵入內(nèi)部程序系統(tǒng)。

2.3xss跨站攻擊

作為最常見的網(wǎng)站攻擊模式，xss的工作原理比較接近sq1的工作原理，不同的是，xss還要通過專門的腳本才可以注入到htm1標簽之中，進而可以在網(wǎng)頁輸入框架中輸入違法惡意的信息內(nèi)容。當這些惡意信息進入到網(wǎng)站的客戶端時，網(wǎng)絡(luò)瀏覽器無法做到識別排除，而是會自動運行這些錯誤信息，從而會影響網(wǎng)頁頁面的正常顯示，進而可以在進一步注入腳本。同時，還可以使用網(wǎng)頁輸入代碼方式，在利用xss漏洞的基礎(chǔ)上控制計算機的操作系統(tǒng)，進而為黑客編寫惡意程序提供了方便，破壞了計算機原有系統(tǒng)的安全性與穩(wěn)定性。黑客攻擊網(wǎng)頁的主要方式便是在計算機瀏覽網(wǎng)站利用xss自動彈出一些窗口，但這些窗口網(wǎng)頁會帶有黑客設(shè)計好的感染病毒，從而借此獲取用戶信息。

3.PHP網(wǎng)站設(shè)計的信息防御措施

3.1公開防御措施

在保護網(wǎng)站信息安全的過程中，程序員應(yīng)適當公開安全防御措施，使客戶更為清楚的了解具體的防御過程。用戶也不可以直接跳過信息安全檢測步驟，并要求在進入網(wǎng)站系統(tǒng)之前，要輸入相應(yīng)的用戶名與密碼，保證網(wǎng)站運行操作的安全性，從而達到保護網(wǎng)站信息的目的。

3.2跟蹤數(shù)據(jù)運行

為了進一步確保網(wǎng)站設(shè)計的安全性，程序員還應(yīng)做到時時跟蹤用戶的數(shù)據(jù)運行過程，通過掌握信息的具體動向來約束用戶的使用行為，從而防止發(fā)生信息泄露問題。但用戶信息的實時追蹤是一種難度較大的信息監(jiān)測方法，當程序員不夠熟悉其工作原理時，便會無法理解web的運作原理，程序開發(fā)過程中不可避免的會出現(xiàn)失誤，進而產(chǎn)生安全漏洞，為此，程序員還應(yīng)認真學習數(shù)據(jù)追蹤的工作原理，全面了解實時追蹤的操作過程。

3.3篩選輸入信息

為了進一步確保網(wǎng)站信息的安全性，程序員還應(yīng)對用戶所輸信息進行必要的篩選，使其可以實現(xiàn)合法化。同時，網(wǎng)站工作人員也應(yīng)認真確認篩選用戶輸入信息，以充分避免木馬病毒的在未知情況下被誤用。

3.4防止注入sq1

當前，網(wǎng)絡(luò)系統(tǒng)具有多種注入方式，且它們都存在一個明顯額公共點，即缺乏必要的過濾程序，以此實現(xiàn)非法獲取用戶資料信息的目的。為了充分避免非法語句的注入，程序員需要認真篩選、過濾查詢語句。并利用計算機內(nèi)的正規(guī)的函數(shù)表達式進行常用語句的匹配，充分提升篩選的正確率。由此可見，只要使用了過濾函數(shù)便可以很程度上避免語句注入的侵入，從而充分保護了網(wǎng)站用戶信息的安全性。

結(jié)束語

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，各種網(wǎng)站層出不窮，很大程度上改變了人們的日常生活，但網(wǎng)站設(shè)計在為人們帶來便利的同時也存在著很多的安全隱患問題。網(wǎng)站設(shè)計關(guān)系著國家政治、經(jīng)濟等各個方面，且當前每個企業(yè)都具備自己專屬的網(wǎng)站，內(nèi)部的信息交流也主要依靠網(wǎng)絡(luò)完成，由此可見，PHP網(wǎng)站設(shè)計中安全性十分重要。本文便通過分析PHP網(wǎng)站設(shè)計中存在的常見問題，提出了解決安全漏洞的防御措施與方法。

參考文獻

[1]王堯.關(guān)于PHP網(wǎng)站設(shè)計中信息安全防御措施淺析（優(yōu)先出版）[J].電子技術(shù)與軟件工程，2014（08）.

[2]吳思嫦.基于ASP.NET電子商務(wù)網(wǎng)站的設(shè)計、實現(xiàn)及安全性增強[D].華中師范大學，2012（05）.

[3]劉鵬.PHP Web應(yīng)用程序安全性研究及安全漏洞檢測工具開發(fā)[D].西安電子科技大學，2011（12）.

[4]林靜瀾.論基于PHP在線視頻點播網(wǎng)站設(shè)計與實現(xiàn)的要點分析[J].信息與電腦（理論版），2012（07）.