PHP安全：杜絕弱口令

　　在PHP的應用中一直都存在安全問題，其中有一個就是因為弱口令引起的，接下來一起看看怎么杜絕吧!

　　所謂弱口令就是非常簡單的密碼，比如“admin、123456、888888”等等。這類密碼因為很方便記憶，所以被大量使用，但是也非常容易讓他人猜測到，更容易被黑客暴力破解。

　　弱口令一直是數據泄露的一個大癥結，因為弱口令是最容易出現的也是最容易被利用的漏洞之一。從去年發生的好萊塢明星“艷照門”事件到今年年初�？低�視“安全門”事件，都是因為弱口令問題被黑客加以利用而導致大量隱私泄露。

　　通 過調查兩千五百名網民的密碼使用情況，發現了一個有意思的情況：74%承認他們每個月都會忘記至少一個密碼，其中33%的人會因此有5分鐘訪問不到工作上 的某些資源，57%的人是5-30分鐘，剩余10%的人更高。在登錄站點發生密碼錯誤時，71%的人多次嘗試不同密碼后成功登錄，18%選擇找回密碼，剩 余11%則直接重新注冊一個新賬號。

　　比如機場的無線網絡密碼就經常采用弱口令。如果你想上網但又舍不得去咖啡廳的時候，有些常見的弱口令可 以試試，比如說1234567890，而這些弱口令常常使用WEP網絡。當然，還有經驗豐富的網友說，商家的電話號碼或者跟他們相關的數字都可能是無線網 絡密碼，比如說店名+123一類。

　　而除了以上信息，弱口令有時候甚至可能是用戶身份的相關信息，這里就涉及到了用戶的信息安全。如果要保護口令的安全，就需保護用戶的信息安全。這里波及的面更廣，拿到了用戶信息就可能拿到用戶的財務信息，包括銀行卡密碼。

　　無論從什么角度來看，忘記密碼造成的麻煩甚至是損失都是不小的，因此許多用戶會選擇使用簡單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險的，在商業環境中，這種做法的數據泄露風險同樣可想而知。

　　那么，對于企業來說，該如何規避此類風險?

　　杜不絕的簡單密碼是常見的難題

　　許多企業花費了許多精力在技術部署上，各種技術性防護措施部署非常到位，但是卻難以杜絕員工使用弱口令。密碼被黑客獲取，就好比小偷得到家里的鑰匙，即時防盜門再好也無濟于事。因此，解決弱口令問題，關鍵在于采取適當的解決方法。通常情況下，大部分企業會選擇這些做法：

　　一、進行員工培訓，提高員工的網絡安全意識

　　二、在制度上嚴格規定，規范公司賬號密碼使用方法

　　三、通過技術手段對弱口令進行限制

　　弱 口令不是簡單的管理問題，每個人都有使用固定的密碼的習慣。培訓和制度的約束很難改變一個人的行為習慣，況且培訓和制度的約束效果無法量化，實施起來收效 甚慢，弱口令也不是一個單純的技術問題。比如我們可以通過技術手段強制要求密碼的復雜策略，但是防不住員工把密碼貼在顯示器上，這也是弱口令導致泄露事件 頻發的原因之一。因此規避弱口令問題，企業必須從管理和技術等多方面著手。

　　規避弱口令風險，可以嘗試這樣做

　　一、統一集中管理認證憑據

　　1、對于系統類的，win10.ithome.com/" target="_blank">Windows有域策略，可以強制要求密碼復雜度策略。

　　2、*nix類的系統可以通過LDAP的方式集中管理。

　　3、對于高危服務類，比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務，由于業務特性極少做統一的管理，那么可以要求它們限定訪問來源。

　　4、對于私有服務類，這里是指一些自己寫的后臺接口，在了解具體協議和用法之后，很多人也不會去做鑒權控制，所以只要是潛伏時間足夠長，往往都有驚人的權限。同理，能夠做統一集中的鑒權最佳，否則至少限制來源訪問。

　　二、廢棄傳統靜態密碼，或不僅僅使用傳統密碼

　　一旦完成了統一集中管理，就可以做到首次認證，后續攜帶登錄狀態自動登錄其它系統。這樣你可以在首次認證的時候，在密碼的基礎上加入動態密碼或生物識別驗證。

　　這里可以使用的工具有：

　　一、動態口令硬件(類似于銀行使用的網銀支付使用U盾產品);

　　二、手持終端掃碼，這本質上是信任手持終端，在此前可以加入生物特征，比如指紋、人臉、聲紋等可靠的校驗機制;

　　三、當然，也有些用短信驗證的，不過短信成本高，并且是明文傳輸，有盜卡、補卡的風險，內部系統其實并不適合。

　　可以說，能做到兩點，也就無所謂是否還改密碼，是否是弱密碼也不再需要擔心撞庫的問題了。

　　最后說第三點，也是最關鍵的一點：讓公司領導明白弱口令的嚴重性!

　　PHP安全：杜絕弱口令 1

　　網絡在給人們帶來方便快捷的同時，也存在較大的信息安全隱患。網站的設計關系到國家的政治、經濟、文化、社會生活等各個方面，延伸的范圍非常廣。幾乎每個企業或每個部門都有自己的專屬網站，而各個部門之間的交流溝通也大多通過網絡來進行。

　　1PHP網站設計中信息安全存在的問題

　　目前，在對PHP網站進行編碼的過程中，存在程序員信息安全意識不高，沒有對用戶所輸入的信息進行安全驗證等現象。因此，會間接導致計算機內部的安全操作系統被不法分子所利用，使得一些錯誤、有害的指令也會被當作正確的合法指令來運行，進而導致網站的信息會發生泄露，從而侵犯了用戶的隱私，給用戶的信息安全帶來不利影響。

　　1.1有sql的注入

　　從廣泛的意義上講，網站的程序設計員需要在編寫網站代碼的過程中對用戶輸入數據的合法性進行分析與判斷，進而防止網站信息泄露［1］。如果網站的程序設計員在編寫網站代碼的過程中忽視了這項操作，用戶就可以通過提交數據庫查詢代碼的方式來根據程序返回的結果獲取相關數據信息，這就是注入sql。注入sql容易導致網站用戶的信息發生泄露，所以相關網站的程序設計員要對用戶所輸入的數據進行合法性的判斷與分析，進而提高網站的信息安全。

　　1.2會發生or1=1及union語句的入侵現象

　　注入or1=1主要是可以在登錄某個網站系統時，繞過相應的密碼驗證，進而利用一個任意的用戶名來登入系統，從而達到入侵系統的目的。這是一種在網絡中運用較為廣泛的語句注入模式。這種注入模式主要是利用了程序員在編寫驗證代碼時，沒有對用戶輸入信息中是否含有非預期的字符進行判斷，直接將用戶的操作請求傳達給計算機函數來執行。這種注入語句的方式使得密碼驗證變得可有可無，不法分子可以直接繞過密碼驗證來入侵系統，進而輕而易舉地獲取到相關用戶的信息［2］。與or1=1語句注入所不同的是，union語句可以通過自身的特殊性來使程序的默認語句出錯。并通過計算機程序執行union后，通過自己構建的sql語句來達到注入語句的.目的，進而入侵到內部程序中。

　　1.3存在xss跨站攻擊

　　xss是一種較為常見的網站攻擊方式，它的工作原理跟sql相差不大，只是xss主要是通過JavaScript的腳本注入到html標簽中，進而將惡意內容輸入網頁輸入框中。當這些惡意內容重新回讀到網站的客戶端時，網站瀏覽器會自動運行這些惡意腳本，進而通過影響網頁的正常顯示來達到注入腳本的目的。通過代碼植入網頁的方式來利用xss漏洞控制計算機操作系統，進而XX利用安全漏洞來編寫惡意程序，從而破壞計算機操作系統的穩定性。XX利用xss來攻擊頁面，使得計算機用戶在瀏覽網站時會自動彈出一些窗口。XX就是利用這些窗口來給網頁掛上相應的木馬病毒，進而讓網站用戶的計算機系統感染病毒，以此來獲取相關用戶的信息。

　　2對PHP網站設計中的信息安全進行防御的具體措施

　　2.1使安全防御措施對用戶公開、透明

　　在保護網站的信息安全時，要讓安全防御措施對用戶公開、透明。讓用戶不能直接跳過信息安全保護驗證，進而讓計算機網站運行操作更為安全。最直接的方法就是在用戶進入網站系統之前，首先要輸入相應的用戶名及密碼，進而達到保護網站信息安全的目的。

　　2.2跟蹤數據運行流程

　　任何一個合格的網站程序員都會對用戶的數據進行隨時跟蹤，通過掌握信息動向來防止發生信息泄露的問題。對數據信息進行跟蹤是一種難度較高的信息監測方法，特別是在一些程序開發者不能熟悉該原理的情況下，會無法深入理解web的運作原理，進而在程序開發過程中出現失誤，并產生一定的安全漏洞。

　　2.3篩選輸入信息

　　對用戶所輸入的信息進行必要的篩選是保證網站信息安全的必要手段，也是對輸入的驗證信息進行合法化的過程。相關網站工作者通過對用戶所輸入的信息進行確認并篩選，這種方法可以避免一些網站病毒在未知的情況下被誤用。

　　2.4防止注入sql

　　在目前來講，網絡的系統注入方式較為豐富，但在注入方面都存在一個共同點，就是利用程序缺乏必要的過濾手段這個缺點，以此來達到非法獲取用戶信息的目的。所以，要防止非法語句的注入，就要對查詢語句進行必要的篩選及過濾。通常意義上，是利用計算機運行程序里的函數通過正規的表達式來進行常用語句的匹配，并對相應的語句進行必要的篩選及過濾。所以，只要利用了過濾函數，就可以在較大程度上避免出現利用注入語句的方式來入侵網站的現象，從而達到保護網站用戶信息安全的目的。

　　3結語

　　本文對PHP網站設計中幾種常見的信息安全漏洞進行了探索與分析，并對如何加強PHP網站設計的信息安全進行了研究與探討。在對網站信息安全進行維護的具體過程中，并沒有一個固定的模式。因此，我們需要具體情況具體分析，靈活運用相關措施來保護用戶的隱私，從而在一定程度上維護網站用戶的信息安全。

【PHP安全：杜絕弱口令】相關文章：

PHP安全性漫談12-04

php正則去掉php注釋11-17

php與php MySQL之間的關系03-30

PHP是做什么的 如何學習PHP03-02

PHP試題03-28

對php一些服務器端特性配置來加強php的安全12-04

如何自學PHP03-18

什么是php語言03-17

PHP簡單介紹03-29