探析PHP網站設計中信息安全防御措施

王玲玲

摘 要：網絡信息技術的發展也加快了信息產業開發的步伐，為人們的生活工作帶來了諸多便利，但同時也為信息安全帶來了很多隱患問題。信息網絡的發展直接關系著國家政治、經濟、文化、社會等各方面的發展，涉及范圍較廣。同時，信息技術也會影響個人的工作生活，數據信息的泄露不但會影響居民的正常生活，甚至還會影響國家政治經濟的安全。而PHP技術則是一種內嵌式語言，它可以較為平穩的運行于程序平臺中，但網站設計中，PHP也比較容易受到外部攻擊，因此在PHP網站設計過程中應做好相應的信息安全防御措施。

關鍵詞：PHP網站；設計；信息安全；防御措施

1.PHP簡介

作為一種內嵌式語言，PHP技術在動態網頁方面具備更快執行速度，自誕生至今，PHP技術已經被廣發應用于2000多萬個網站中，成為全球最普及的互聯網開發語言。近年來，隨著PHP技術的不斷完善，其已經由網絡開發語言逐漸發展成為適合企業部署的技術平臺，西門子、IBM等知名公司也開始廣泛使用PHP技術。最早期的PHP技術主要具備訪客留言與訪客計數等功能，隨著后期的開發利用，PHP技術開始加入mSQL支持，進而提升了動態網頁開發的執行力。

2.PHP網站設計中存在的信息安全問題

實際PHP編碼設計過程中，由于程序員并不具備足夠的安全防御意識，導致設計過程中，沒有認真檢驗輸入信息的可靠性與安全性，使得計算機內部的操作系統極易被不法分子利用，導致錯誤指令會被當做正確指令使用，從而造成了用戶信息的泄露現象，嚴重侵犯了用戶信息的隱私。

2.1sq1注入

由廣義層面看來，網站程序設計員需要在網站代碼編程過程中合理判斷用戶輸入數據的合法性與安全性，從而杜絕網站信息的泄露行為。但如果網站程序員忽視了這一操作，用戶就可以利用提交數據庫查詢代碼的方式，并根據數據返回結果獲取信息，這便是注入了sq1。這種錯誤操作很容易導致網站用戶信息的泄露，因此，程序員需要在網站設計過程中認真判斷分析所輸入數據的合法性，從而進一步提升網站信息的安全性。

2.2發生or 1=1與union語句入侵

注入or 1=1，可以使不法分子在登錄網站時避開密碼驗證過程，從而可以利用任意的使用名便可以隨意進入信息系統，從而達到侵入目的，這也是網站設計中應用最為廣泛的語句注入模式，它主要是程序員在編寫代碼過程中，并未認真檢測所輸信息是否含有非預期的字符，而是直接將客戶的需求傳達給計算機的函數系統進行識別。這種注入方法會使密碼驗證失去原有的保護作用，不法分子可以利用漏洞直接侵入網站系統，從而可以容易的獲得所有用戶的數據資料。而與Or 1=1語句注入侵入不同的是，union語句則可以使程序的默認語言出現混亂，計算機在執行union程序后，會利用自身的sq1注入語句，從而侵入內部程序系統。

2.3xss跨站攻擊

作為最常見的網站攻擊模式，xss的工作原理比較接近sq1的工作原理，不同的是，xss還要通過專門的腳本才可以注入到htm1標簽之中，進而可以在網頁輸入框架中輸入違法惡意的信息內容。當這些惡意信息進入到網站的客戶端時，網絡瀏覽器無法做到識別排除，而是會自動運行這些錯誤信息，從而會影響網頁頁面的正常顯示，進而可以在進一步注入腳本。同時，還可以使用網頁輸入代碼方式，在利用xss漏洞的基礎上控制計算機的操作系統，進而為黑客編寫惡意程序提供了方便，破壞了計算機原有系統的安全性與穩定性。黑客攻擊網頁的主要方式便是在計算機瀏覽網站利用xss自動彈出一些窗口，但這些窗口網頁會帶有黑客設計好的感染病毒，從而借此獲取用戶信息。

3.PHP網站設計的信息防御措施

3.1公開防御措施

在保護網站信息安全的過程中，程序員應適當公開安全防御措施，使客戶更為清楚的了解具體的防御過程。用戶也不可以直接跳過信息安全檢測步驟，并要求在進入網站系統之前，要輸入相應的用戶名與密碼，保證網站運行操作的安全性，從而達到保護網站信息的目的。

3.2跟蹤數據運行

為了進一步確保網站設計的安全性，程序員還應做到時時跟蹤用戶的數據運行過程，通過掌握信息的具體動向來約束用戶的使用行為，從而防止發生信息泄露問題。但用戶信息的實時追蹤是一種難度較大的信息監測方法，當程序員不夠熟悉其工作原理時，便會無法理解web的運作原理，程序開發過程中不可避免的會出現失誤，進而產生安全漏洞，為此，程序員還應認真學習數據追蹤的工作原理，全面了解實時追蹤的操作過程。

3.3篩選輸入信息

為了進一步確保網站信息的安全性，程序員還應對用戶所輸信息進行必要的篩選，使其可以實現合法化。同時，網站工作人員也應認真確認篩選用戶輸入信息，以充分避免木馬病毒的在未知情況下被誤用。

3.4防止注入sq1

當前，網絡系統具有多種注入方式，且它們都存在一個明顯額公共點，即缺乏必要的過濾程序，以此實現非法獲取用戶資料信息的目的。為了充分避免非法語句的注入，程序員需要認真篩選、過濾查詢語句。并利用計算機內的正規的函數表達式進行常用語句的匹配，充分提升篩選的正確率。由此可見，只要使用了過濾函數便可以很程度上避免語句注入的侵入，從而充分保護了網站用戶信息的安全性。

結束語

隨著網絡信息技術的快速發展，各種網站層出不窮，很大程度上改變了人們的日常生活，但網站設計在為人們帶來便利的同時也存在著很多的安全隱患問題。網站設計關系著國家政治、經濟等各個方面，且當前每個企業都具備自己專屬的網站，內部的信息交流也主要依靠網絡完成，由此可見，PHP網站設計中安全性十分重要。本文便通過分析PHP網站設計中存在的常見問題，提出了解決安全漏洞的防御措施與方法。

參考文獻

[1]王堯.關于PHP網站設計中信息安全防御措施淺析（優先出版）[J].電子技術與軟件工程，2014（08）.

[2]吳思嫦.基于ASP.NET電子商務網站的設計、實現及安全性增強[D].華中師范大學，2012（05）.

[3]劉鵬.PHP Web應用程序安全性研究及安全漏洞檢測工具開發[D].西安電子科技大學，2011（12）.

[4]林靜瀾.論基于PHP在線視頻點播網站設計與實現的要點分析[J].信息與電腦（理論版），2012（07）.