PHP网站设计中信息安全防御策略

网络在给人们带来方便快捷的同时，也存在较大的信息安全隐患。网站的设计关系到国家的政治、经济、文化、社会生活等各个方面，延伸的范围非常广。几乎每个企业或每个部门都有自己的专属网站，而各个部门之间的交流沟通也大多通过网络来进行。

1PHP网站设计中信息安全存在的问题

目前，在对PHP网站进行编码的过程中，存在程序员信息安全意识不高，没有对用户所输入的信息进行安全验证等现象。因此，会间接导致计算机内部的安全操作系统被不法分子所利用，使得一些错误、有害的指令也会被当作正确的合法指令来运行，进而导致网站的信息会发生泄露，从而侵犯了用户的隐私，给用户的信息安全带来不利影响。

1.1有sql的注入

从广泛的意义上讲，网站的程序设计员需要在编写网站代码的过程中对用户输入数据的合法性进行分析与判断，进而防止网站信息泄露［1］。如果网站的程序设计员在编写网站代码的过程中忽视了这项操作，用户就可以通过提交数据库查询代码的方式来根据程序返回的结果获取相关数据信息，这就是注入sql。注入sql容易导致网站用户的信息发生泄露，所以相关网站的程序设计员要对用户所输入的数据进行合法性的判断与分析，进而提高网站的信息安全。

1.2会发生or1=1及union语句的入侵现象

注入or1=1主要是可以在登录某个网站系统时，绕过相应的密码验证，进而利用一个任意的用户名来登入系统，从而达到入侵系统的目的。这是一种在网络中运用较为广泛的语句注入模式。这种注入模式主要是利用了程序员在编写验证代码时，没有对用户输入信息中是否含有非预期的字符进行判断，直接将用户的操作请求传达给计算机函数来执行。这种注入语句的方式使得密码验证变得可有可无，不法分子可以直接绕过密码验证来入侵系统，进而轻而易举地获取到相关用户的信息［2］。与or1=1语句注入所不同的是，union语句可以通过自身的特殊性来使程序的默认语句出错。并通过计算机程序执行union后，通过自己构建的sql语句来达到注入语句的目的，进而入侵到内部程序中。

1.3存在xss跨站攻击

xss是一种较为常见的网站攻击方式，它的工作原理跟sql相差不大，只是xss主要是通过JavaScript的脚本注入到html标签中，进而将恶意内容输入网页输入框中。当这些恶意内容重新回读到网站的客户端时，网站浏览器会自动运行这些恶意脚本，进而通过影响网页的正常显示来达到注入脚本的目的。通过代码植入网页的方式来利用xss漏洞控制计算机操作系统，进而黑客利用安全漏洞来编写恶意程序，从而破坏计算机操作系统的稳定性。黑客利用xss来攻击页面，使得计算机用户在浏览网站时会自动弹出一些窗口。黑客就是利用这些窗口来给网页挂上相应的木马病毒，进而让网站用户的计算机系统感染病毒，以此来获取相关用户的信息。

2对PHP网站设计中的信息安全进行防御的具体措施

2.1使安全防御措施对用户公开、透明

在保护网站的信息安全时，要让安全防御措施对用户公开、透明。让用户不能直接跳过信息安全保护验证，进而让计算机网站运行操作更为安全。最直接的方法就是在用户进入网站系统之前，首先要输入相应的用户名及密码，进而达到保护网站信息安全的目的。

2.2跟踪数据运行流程

任何一个合格的网站程序员都会对用户的数据进行随时跟踪，通过掌握信息动向来防止发生信息泄露的问题。对数据信息进行跟踪是一种难度较高的信息监测方法，特别是在一些程序开发者不能熟悉该原理的情况下，会无法深入理解web的运作原理，进而在程序开发过程中出现失误，并产生一定的安全漏洞。

2.3筛选输入信息

对用户所输入的信息进行必要的筛选是保证网站信息安全的必要手段，也是对输入的验证信息进行合法化的过程。相关网站工作者通过对用户所输入的信息进行确认并筛选，这种方法可以避免一些网站病毒在未知的情况下被误用。

2.4防止注入sql

在目前来讲，网络的系统注入方式较为丰富，但在注入方面都存在一个共同点，就是利用程序缺乏必要的过滤手段这个缺点，以此来达到非法获取用户信息的目的。所以，要防止非法语句的注入，就要对查询语句进行必要的筛选及过滤。通常意义上，是利用计算机运行程序里的函数通过正规的表达式来进行常用语句的匹配，并对相应的语句进行必要的筛选及过滤。所以，只要利用了过滤函数，就可以在较大程度上避免出现利用注入语句的方式来入侵网站的现象，从而达到保护网站用户信息安全的目的。

3结语

本文对PHP网站设计中几种常见的信息安全漏洞进行了探索与分析，并对如何加强PHP网站设计的信息安全进行了研究与探讨。在对网站信息安全进行维护的具体过程中，并没有一个固定的模式。因此，我们需要具体情况具体分析，灵活运用相关措施来保护用户的隐私，从而在一定程度上维护网站用户的信息安全。

作者：马爽 单位：辽源职业技术学院