PHP程序的安全性问题

今天在一个群上给别人看了自己新做的一个站.结果不到20分钟,源码就被别人弄到手了,在此想讨论下PHP程序的安全性问题,除了防止sql注入,跨站提交,GLOBAL变量等相关问题,还有其它要注意的地方没?还有就是WIN下面,APACHE和PHP应该怎样配置才算安全.  
   
  按理程序写得再烂,应该也不会从程序上泄漏源码,我想应该是WEB服务器(APACHE   2.0.52   +   PHP   5.0.3   +   MYSQL   4.0.18   )的问题,但是服务器在客户那里,日志我暂时看不到.  
   
  郁闷死了,辛苦做的东西,放上去,别人在20分钟不到就得到源码........... 问题点数：100、回复次数：22Top

1 楼lawyu（雨淋漓）回复于 2005-05-08 20:50:51 得分 5

不会吧，全部源码？  
  我觉得不太可能吧，即使是也和php的配置没关系  
  难道你泄露了ftp的密码？呵呵Top

2 楼genshing（.）回复于 2005-05-08 21:00:42 得分 0

不是全部源码,他是利用漏洞得到的源码,得到多少就不清楚了,发给我看的是我的adodb数据库初始化的文件,他在QQ上给我的代码里面有他的一点东西,那部分代码在公司的QQ上,这里没有,明天发给大家看看.Top

3 楼yynice（小楼听雨）回复于 2005-05-08 22:29:59 得分 5

看来只有zend了Top

4 楼loveconan（放牛娃娃）回复于 2005-05-08 22:33:10 得分 5

我觉得你应该问他是怎么偷到的  
  如果他肯告诉你Top

5 楼genshing（.）回复于 2005-05-08 22:41:42 得分 0

他就是不肯告诉我,就他给我看的那部分代码就足以让我震惊了.不管是什么样的原因,看了代码真得zend了,所有的代码,包括配置文件全部zend才放心........Top

6 楼genshing（.）回复于 2005-05-08 22:43:17 得分 0

今天沮丧了一天,甚至还怀疑当初选择做程序是不是个对的选择....Top

7 楼syre（神仙）回复于 2005-05-08 22:58:25 得分 20

有很多可能  
  比如有上传漏洞Top

8 楼hope1983（亢龙有悔浪子回头）回复于 2005-05-09 05:11:31 得分 5

可能文件目录被人知道了,而你上一层的目录权限没配置好,......  
  这是最简单的漏洞了......Top

9 楼ccxxcc（cc小超）回复于 2005-05-09 07:42:30 得分 5

apache是不是配置有问题?  
  比如没有禁止目录浏览  
  如果你的代码中有子目录,在地址框中打开子目录  
  看看有没有类似下面网站的问题  
  http://www.beautifier.org/php/langs/Top

10 楼genshing（.）回复于 2005-05-09 07:53:21 得分 0

目录浏览不可能,我的每个目录下面,没有首页的都加了个index.htm的.......Top

11 楼ashchen（老陳）回复于 2005-05-09 08:30:33 得分 5

什么操作系统？Top

12 楼genshing（.）回复于 2005-05-09 09:00:45 得分 0

(2004-05-08   11:36:26)       ---  
  呵呵，那网站真是不堪一击  
  呵呵，<?  
  require("config.inc.php");  
  include("$fullpath/include</EditElement><EditElement   type="2"   filepath="E:\QQ2005\Face\54.gif"   shortcut=""   sysfaceindex="91"></EditElement><EditElement   type="0">bs/adodb/adodb.inc.php");  
   
  $db   =   &ADONewConnection($db_type);   #   eg.   'mysql'   or   'oci8'    
  $db->debug   =   $db_debug;  
  if($Connect=='0'){  
          $db->Connect($db_host,   $db_user,   $db_pass,   $db_name);  
              }else{  
          $db->PConnect($db_host,   $db_user,   $db_pass,   $db_name);  
            }  
   
  ?>Top

13 楼genshing（.）回复于 2005-05-09 09:01:09 得分 0

上传漏洞的问题.....Top

14 楼klend（苯鸟（2006））回复于 2005-05-09 09:54:43 得分 10

那就把上传漏洞堵上就行了，php还是比较安全的Top

15 楼xoyoren（forcey）回复于 2005-05-09 10:25:49 得分 5

说不定就是人家得到一个   webshell   之后就可以随便下载代码了……  
  我曾经有一次做了一个月的代码被人   5   分钟拿到，后来发现我和他的虚拟主机在同一台服务器，他   fopen   就可以。。Top

16 楼loveconan（放牛娃娃）回复于 2005-05-09 12:48:06 得分 5

配置文件也Zend？  
  那还能不能更新了？Top

17 楼genshing（.）回复于 2005-05-09 14:44:21 得分 0

TO   klend(苯鸟（飞翔2005，还是没有技术含量）)   :客户要求上传不限制文件类型.....Top

18 楼flyonet（人生如梦【★】梦如人生）回复于 2005-05-09 14:49:47 得分 5

你网站地址！！Top

19 楼pmaster（开心点）回复于 2005-05-09 18:13:48 得分 0

http://www.womai.cn/Top

20 楼Meteorlet（http://smartdict.cn）回复于 2005-05-09 18:53:04 得分 15

TO   klend(苯鸟（飞翔2005，还是没有技术含量）)   :客户要求上传不限制文件类型.....  
   
  上传文件不要用url就能访问到，否则上传一个php文件，什么都知道了Top

21 楼skystar008（疯花血月）回复于 2005-05-10 09:00:50 得分 5

安全第一。Top

22 楼lanyd（寻找甘当科学家的女人）回复于 2005-05-10 09:38:50 得分 5

会不会他是这家服务器主人的朋友,哈~~~~Top

相关问题

• 代码
• 源码
• 文件
• 服务器
• php
• db
• 客户
• apache
• 程序
• 目录

• 帖主：genshing
• lawyu
• yynice
• loveconan
• syre
• hope1983
• ccxxcc
• ashchen
• klend
• xoyoren
• loveconan
• flyonet
• Meteorlet
• skystar008
• lanyd

• Web开发类图书