ဖွံ့ဖြိုးတိုးတက်မှုတစ်နှစ်ပြီးနောက်
Snuffleupagus သည် လုံခြုံရေး ပိုမိုကောင်းမွန်စေရန် စံနမူနာများကို အသုံးပြုရန်၊ သို့မဟုတ် ထည့်သွင်းဒေတာနှင့် လုပ်ဆောင်မှု ကန့်သတ်ချက်များကို ထိန်းချုပ်ရန် သင့်ကိုယ်ပိုင် စည်းမျဉ်းများကို ဖန်တီးနိုင်စေမည့် စည်းမျဉ်းစနစ်တစ်ခုကို ပံ့ပိုးပေးပါသည်။ ဥပမာအားဖြင့်၊ စည်းမျဉ်း “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” အပလီကေးရှင်းကိုမပြောင်းဘဲ system() function arguments များတွင် အထူးဇာတ်ကောင်များအသုံးပြုခြင်းကို ကန့်သတ်ခွင့်ပြုသည်။ ပြဿနာများကဲ့သို့သော အားနည်းချက်များ၏ အတန်းအစားများကို ပိတ်ဆို့ရန် ထည့်သွင်းထားသော နည်းလမ်းများ၊
Snuffleupagus မှပေးသော PHP လုံခြုံရေးတိုးမြှင့်မုဒ်များ
- Cookies အတွက် "secure" နှင့် "samesite" (CSRF protection) အလံများကို အလိုအလျောက်ဖွင့်ပေးခြင်း၊
စာဝှက် ကွတ်ကီး; - တိုက်ခိုက်မှုများ၏ခြေရာများကို ဖော်ထုတ်ရန်နှင့် အသုံးချပရိုဂရမ်များ၏ အပေးအယူလုပ်ခြင်းကို ဖော်ထုတ်ရန် ပါ၀င်သော စည်းမျဉ်းများ၊
- အတင်းအဓမ္မ ကမ္ဘာလုံးဆိုင်ရာ အသက်သွင်းမှု”
တိကျသော " (ဥပမာ၊ ကိန်းပြည့်တန်ဖိုးကို အငြင်းအခုံတစ်ခုအဖြစ် မျှော်လင့်နေချိန်တွင် string တစ်ခုကို သတ်မှတ်ရန် ကြိုးပမ်းမှုကို ပိတ်ဆို့ခြင်း) နှင့် ကာကွယ်ခြင်းtype manipulation ပါ။ ; - ပုံသေပိတ်ဆို့ခြင်း။
ပရိုတိုကောထုပ်များ (ဥပမာ၊ "phar://" ကို ပိတ်ပင်ခြင်း)၊ ၎င်းတို့၏ ရှင်းလင်းပြတ်သားသော လူဖြူစာရင်းဖြင့်၊ - ရေး၍ရနိုင်သော ဖိုင်များကို အကောင်အထည်ဖော်ခြင်းအား တားမြစ်ခြင်း၊
- အကဲဖြတ်ရန်အတွက် အဖြူအမည်းစာရင်းများ၊
- အသုံးပြုနေစဉ် TLS လက်မှတ်စစ်ဆေးခြင်းကို ဖွင့်ရန် လိုအပ်သည်။
curl; - Deserialization သည် မူရင်းအပလီကေးရှင်းမှသိမ်းဆည်းထားသောဒေတာကိုပြန်လည်ရယူကြောင်းသေချာစေရန် HMAC ကို နံပါတ်စဉ်တပ်ထားသောအရာဝတ္ထုများထဲသို့ထည့်ခြင်း၊
- မှတ်တမ်းမုဒ်ကို တောင်းဆိုပါ။
- XML စာရွက်စာတမ်းများတွင် လင့်ခ်များမှတစ်ဆင့် libxml တွင် ပြင်ပဖိုင်များတင်ခြင်းကို ပိတ်ခြင်း၊
- အပ်လုဒ်လုပ်ထားသောဖိုင်များကို စစ်ဆေးရန်နှင့် စကင်န်ဖတ်ရန် ပြင်ပကိုင်တွယ်ကိရိယာများ (upload_validation) ချိတ်ဆက်နိုင်မှု၊
အနက်
source: opennet.ru