【发布时间】:2014-07-15 22:58:43
【问题描述】:
我一直避免学习 PHP 和 MySQL,因为我在互联网上读到有关 PHP 不是一种安全语言以及数据库存在安全风险(SQL 注入等)的信息。
我想了解的主要内容是通常由糟糕的 PHP/MySQL 代码造成的损坏类型。换句话说,当我们编写糟糕的代码时,数据库中的信息或整个服务器中的信息有什么风险?
我知道这可能是一个复杂的话题,但我只想简要说明当数据库或 PHP 脚本遭到破坏时通常会影响哪些信息。
-
当数据库受到威胁时,这是否意味着整个服务器都可能处于危险之中,或者只是数据库及其内容受到威胁?
-
当 PHP 脚本受到威胁时,这是否意味着整个服务器都可能处于危险之中,或者只是脚本和任何相关内容都处于危险之中?
-
在创建数据库时最重要的是要保持安全,即与数据库的连接?
很抱歉这些基本问题,但我需要在继续之前了解这一点。
【问题讨论】:
-
这太宽泛了。然而,为了解决您的问题,PHP 并不比任何其他语言更不安全。如果滥用,所有语言都是不安全的。而当你编写糟糕的代码时,整个服务器可能会面临风险,或者可能只是数据库,这取决于问题的性质。假设一切都处于危险之中。您应该花一些时间阅读OWASP website。
-
我认为 PHP 以不安全着称,因为一段时间以来,它不支持准备好的语句(尽管这也已经修复了很长时间)。尽管如此,我还是看到很多人编写的代码没有使用它们,而且他们的代码非常容易受到攻击。
-
安全与编程语言无关。重要的是您编写的代码以及其他一些内容。
-
当一个 PHP 脚本被入侵时,这是否意味着整个服务器都可能处于危险之中 - 通常,如果一个 PHP 脚本被入侵,它会授予远程攻击者能够以 Web 服务器用户身份运行 PHP。这意味着他们也可以像该用户一样读取、写入和删除文件。数据库内容可能被盗,并安装垃圾邮件中继,具体取决于攻击者和原因。大多数自动攻击都是为了安装僵尸网络或垃圾邮件中继。
标签: php mysql sql database security