中文乱码免费一区二区三区下载,欧美一区二区综合,粉嫩一区二区三区在线看

blog已經轉移至github,大家請訪問 http://qaseven.github.io/

由被WebInspect攻擊引發的php header()使用問題

　最新做的一個項目，被測試組猛烈攻擊，暴露了不少問題。其中一個問題印象深刻！

　　測試使用了WebInspect這個掃描工具，掃描了整個網站，包括后臺。結果我們的數據庫里被灌入大量的垃圾數據，并修改了原有的數據?？傊瑧K不忍睹！

　　后來，我們發現我們后臺的一個簡單的檢查是否登錄的方法有問題:在判定未登錄時，使用php header()跳轉頁面，沒有在這個方法執行后退出執行。這樣的話，頁面跳轉，但在header()下面的代碼依然會執行。

　　現總結下php header()使用時注意的問題：

　　1、location和“:”號間不能有空格，否則會出錯。

　　2、在用header前不能有任何的輸出。

　　3、header后的PHP代碼還會被執行。記得加exit() 或者die 退出。

　　另外，后臺登錄地址注意安全，不讓他人輕易猜到！

posted on 2014-09-28 10:41 順其自然EVO 閱讀(221) 評論(0) 編輯收藏所屬分類: 測試學習專欄


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 如何進行Web服務的性能測試？利用drozer進行Android滲透測試 Appium Android Bootstrap源碼分析之命令解析執行 Fliptest—iOS 的應用A/B測試框架 iOS功能測試工具 Frank iOS單元測試框架Kiwi for iOS Appium Android Bootstrap之控件AndroidElement 移動應用測試框架—Calabash Android 簡介 Appium Server源碼分析之作為Bootstrap客戶端移植MonkeyRunner的圖片對比功能實現-Appium篇