php如何防止网站内容被采集

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php如何防止网站内容被采集相关的知识,希望对你有一定的参考价值。

1、限制IP地址单位时间的访问次数
分析:没有哪个常人一秒钟内能访问相同网站5次,除非是程序访问,而有这种喜好的,就剩下搜索引擎爬虫和讨厌的采集器了。
弊端:一刀切,这同样会阻止搜索引擎对网站的收录
适用网站:不太依靠搜索引擎的网站
采集器会怎么做:减少单位时间的访问次数,减低采集效率
2、屏蔽ip
分析:通过后台计数器,记录来访者ip和访问频率,人为分析来访记录,屏蔽可疑Ip。
弊端:似乎没什么弊端,就是站长忙了点
适用网站:所有网站,且站长能够知道哪些是google或者百度的机器人
采集器会怎么做:打游击战呗!利用ip代理采集一次换一次,不过会降低采集器的效率和网速(用代理嘛)。
3、利用js加密网页内容
Note:这个方法我没接触过,只是从别处看来
分析:不用分析了,搜索引擎爬虫和采集器通杀
适用网站:极度讨厌搜索引擎和采集器的网站
采集器会这么做:你那么牛,都豁出去了,他就不来采你了
4、网页里隐藏网站版权或者一些随机垃圾文字,这些文字风格写在css文件中
分析:虽然不能防止采集,但是会让采集后的内容充满了你网站的版权说明或者一些垃圾文字,因为一般采集器不会同时采集你的css文件,那些文字没了风格,就显示出来了。
适用网站:所有网站
采集器会怎么做:对于版权文字,好办,替换掉。对于随机的垃圾文字,没办法,勤快点了。
5、用户登录才能访问网站内容
分析:搜索引擎爬虫不会对每个这样类型的网站设计登录程序。听说采集器可以针对某个网站设计模拟用户登录提交表单行为。
适用网站:极度讨厌搜索引擎,且想阻止大部分采集器的网站
采集器会怎么做:制作拟用户登录提交表单行为的模块 参考技术A 1,robots
2,用iframe嵌套,js生成具体数据
3,内容标注不可转载,用法律维权

PHP网站漏洞怎么修复 如何修补网站程序代码漏洞

PHP网站漏洞怎么修复 如何修补网站程序代码漏洞

分类专栏: 如何防止网站被黑 网站被篡改 网站被黑 网站安全服务 如何防止网站被侵入 网站安全防护服务 如何防止网站被挂马 网站安全维护 怎么查找网站漏洞 wordpress漏洞修复 MetInfo漏洞修复 ecshop漏洞修复 网站被黑怎么修复 网站安全检测 该内容被禁止访问 文章标签: 网站漏洞怎么修复 如何修复网站漏洞 网站被黑怎么修复
版权
phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入***漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。

目前phpdisk最新版本为7.0版本,该网站系统可以用于公司办公,企业内部文件共享,文档存储,比传统的FTP软件更为直观,操作,简单方便,快捷,用户上传文件格式可以后台设置,人性化,满足了很多企业以及个人用户的青睐,使用的人越多,针对于该网站的漏洞挖掘也会越来越多,很容易遭受到***者的***。关于该网站的sql注入***漏洞的详情,我们SINE安全来详细的跟大家讲解一下:

SQL注入漏洞详情

phpdisk有多个版本,像gbk版本,utf8版本,在代码当中都会相互转换代码的功能,在对代码进行转化的同时多多少少会存在漏洞,该sql注入漏洞产生的原因就在这里,我们对代码进行安全审计后发现编码转换调用的是conver_str函数,大部分的网站对编码的转换都调用这个参数,在进行转化的时候进行了多次转义操作,我们追踪代码发现iconv存在sql宽字节注入漏洞,代码截图如下:
技术图片

另外的一处sql注入漏洞是在代码文件里,根目录下的ajax.php文件。我们来看下代码:

技术图片

本身该代码已经使用了全局变量的sql过滤系统,对一些sql注入语句进行了安全过滤与拦截,一般性的sql注入***都不会成功,但是经过我们的安全检测与绕过,可以直接将SQL注入语句植入到网站当中,并从后端执行数据库的查询操作,使用加密对其进行sql***。

技术图片

通过网站的sql注入漏洞我们可以直接获取网盘的管理员账号密码,获取到的是md5值,针对于md5值我们对其解密,并利用默认的后台地址,登录进去,通过上传文件,我们进一步的对网站进行上传webshell获取更高的管理员权限。

技术图片

如何防止sql注入***呢? 修复网站的漏洞

对网站前端输入过来的值进行安全判断,尤其编码转换这里,确认变量值是否存在,如果存在将不会覆盖,杜绝变量覆盖导致掺入恶意构造的sql注入语句代码在GET请求,以及POST请求里,过滤非法字符的输入。 ‘分号过滤 --过滤 %20特殊字符过滤,单引号过滤,%百分号, and过滤,tab键值等的的安全过滤。对加密的参数进行强制转换并拦截特殊的语句,该phpdisk网站系统已经停止更新,如果对代码不是太懂的话,建议找专业的网站安全公司来处理解决网站被sql注入***问题,让安全公司帮忙修复网站的漏洞,像Sinesafe,绿盟那些专门做网站安全防护的安全服务商来帮忙。还有一点就是,如果实在不知道该怎么修复漏洞,直接将网站的后台地址改掉,改的复杂一些,即使***者破解了admin的账号密码,也登录不了后台

以上是关于php如何防止网站内容被采集的主要内容,如果未能解决你的问题,请参考以下文章

什么是CC攻击,如何防止网站被CC攻击?

PHP网站漏洞怎么修复 如何修补网站程序代码漏洞

java爬虫系列第五讲-如何使用代理防止爬虫被屏蔽?

PHP如何防止图片盗用?

php如何防止图片盗用/盗链的两种方法

什么是CC攻击,如何防止网站被CC攻击?