制作安全性高的PHP網(wǎng)站的幾個(gè)實(shí)用要點(diǎn)
大家都知道PHP已經(jīng)是當(dāng)前最流行的Web應(yīng)用編程語(yǔ)言了。但是也與其他腳本語(yǔ)言一樣,PHP也有幾個(gè)很危險(xiǎn)的安全漏洞。所以在這篇教學(xué)文章中,我們將大致看看幾個(gè)實(shí)用的技巧來(lái)讓你避免一些常見(jiàn)的PHP安全問(wèn)題。
技巧1:使用合適的錯(cuò)誤報(bào)告
一般在開(kāi)發(fā)過(guò)程中,很多程序員總是忘了制作程序錯(cuò)誤報(bào)告,這是極大的錯(cuò)誤,因?yàn)榍‘?dāng)?shù)腻e(cuò)誤報(bào)告不僅僅是最好的調(diào)試工具,也是極佳的安全漏洞檢測(cè)工具,這能讓你把應(yīng)用真正上線前盡可能找出你將會(huì)遇到的問(wèn)題。
當(dāng)然也有很多方式去啟用錯(cuò)誤報(bào)告。比如在 php.in 配置文件中你可以設(shè)置在運(yùn)行時(shí)啟用
啟動(dòng)錯(cuò)誤報(bào)告
error_reporting(E_ALL);
停用錯(cuò)誤報(bào)告
error_reporting(0);
技巧2:不使用PHP的Weak屬性
有幾個(gè)PHP的屬性是需要被設(shè)置為OFF的。一般它們都存在于PHP4里面,而在PHP5中是不推薦使用的。尤其最后在PHP6里面,這些屬性都被移除了。
注冊(cè)全局變量
當(dāng) register_globals 被設(shè)置為ON時(shí),就相當(dāng)于設(shè)置Environment,GET,POST,COOKIE或者Server變量都定義為全局變量。此時(shí)你根本不需要去寫(xiě) $_POST[‘username']來(lái)獲取表單變量'username',只需要'$username'就能獲取此變量了。
那么你肯定在想既然設(shè)置 register_globals 為 ON 有這么方便的好處,那為什么不要使用呢?因?yàn)槿绻氵@樣做將會(huì)帶來(lái)很多安全性的問(wèn)題,而且也可能與局部變量名稱(chēng)相沖突。
比如先看看下面的代碼:
if( !empty( $_POST[‘username'] ) && $_POST[‘username'] == ‘test123′ && !empty( $_POST[‘password'] ) && $_POST[‘password'] == “pass123″ )
{
$access = true;
}
如果運(yùn)行期間, register_globals 被設(shè)置為ON,那么用戶(hù)只需要傳輸 access=1 在一句查詢(xún)字符串中就能獲取到PHP腳本運(yùn)行的任何東西了。
在.htaccess中停用全局變量
php_flag register_globals 0
在php.ini中停用全局變量
register_globals = Off
停用類(lèi)似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes
在.htaccess文件中設(shè)置
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設(shè)置
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧3:驗(yàn)證用戶(hù)輸入
你當(dāng)然也可以驗(yàn)證用戶(hù)的輸入,首先必須知道你期望用戶(hù)輸入的數(shù)據(jù)類(lèi)型。這樣就能在瀏覽器端做好防御用戶(hù)惡意攻擊你的準(zhǔn)備。
技巧4:避免用戶(hù)進(jìn)行交叉站點(diǎn)腳本攻擊
在Web應(yīng)用中,都是簡(jiǎn)單地接受用戶(hù)輸入表單然后反饋結(jié)果。在接受用戶(hù)輸入時(shí),如果允許HTML格式輸入將是非常危險(xiǎn)的事情,因?yàn)檫@也就允許了JavaScript以不可預(yù)料的方式侵入后直接執(zhí)行。哪怕只要有一個(gè)這樣漏洞,cookie數(shù)據(jù)都可能被盜取進(jìn)而導(dǎo)致用戶(hù)的賬戶(hù)被盜取。
技巧5:預(yù)防SQL注入攻擊
PHP基本沒(méi)有提供任何工具來(lái)保護(hù)你的數(shù)據(jù)庫(kù),所以當(dāng)你連接數(shù)據(jù)庫(kù)時(shí),你可以使用下面這個(gè)mysqli_real_escape_string 函數(shù)。
$username = mysqli_real_escape_string( $GET[‘username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = '”.$username.“‘”);
好了,在這篇簡(jiǎn)短的文章中,我們闡述了幾個(gè)開(kāi)發(fā)過(guò)程中不能忽視的PHP安全性問(wèn)題。但是最終是否使用,如何使用還是開(kāi)發(fā)人員來(lái)決定的。希望這篇文章能幫助到你們。
- 9段PHP實(shí)用功能的代碼推薦
- 一個(gè)經(jīng)典實(shí)用的PHP圖像處理類(lèi)分享
- 幾個(gè)實(shí)用的PHP內(nèi)置函數(shù)使用指南
- 簡(jiǎn)單實(shí)用的PHP防注入類(lèi)實(shí)例
- 一款簡(jiǎn)單實(shí)用的php操作mysql數(shù)據(jù)庫(kù)類(lèi)
- 非常實(shí)用的PHP常用函數(shù)匯總
- Thinkphp中的curd應(yīng)用實(shí)用要點(diǎn)
- 9個(gè)實(shí)用的PHP代碼片段分享
- PHP實(shí)用函數(shù)分享之去除多余的0
- 7個(gè)鮮為人知卻非常實(shí)用的PHP函數(shù)
- PHP實(shí)現(xiàn)簡(jiǎn)單實(shí)用的驗(yàn)證碼類(lèi)
- 6個(gè)超實(shí)用的PHP代碼片段
- PHP判斷字符串長(zhǎng)度的兩種方法很實(shí)用
- PHPStrom中實(shí)用的功能和快捷鍵大全
- 四個(gè)PHP非常實(shí)用的功能
相關(guān)文章
php遞歸函數(shù)三種實(shí)現(xiàn)方法及如何實(shí)現(xiàn)數(shù)字累加
實(shí)現(xiàn)遞歸函數(shù)有哪些方法呢?如何用遞歸函數(shù)實(shí)現(xiàn)數(shù)字累加?這篇文章就主要介紹php遞歸函數(shù)三種實(shí)現(xiàn)方法及如何實(shí)現(xiàn)數(shù)字累加,需要的朋友可以參考下。2015-08-08jQuery向下滾動(dòng)即時(shí)加載內(nèi)容實(shí)現(xiàn)的瀑布流效果
下拉滾動(dòng)條或鼠標(biāo)滾輪滾動(dòng)到頁(yè)面底部時(shí), 動(dòng)態(tài)即時(shí)加載新內(nèi)容,通過(guò)本文給大家介紹jQuery向下滾動(dòng)即時(shí)加載內(nèi)容實(shí)現(xiàn)的瀑布流效果,感興趣的朋友參考下2016-01-01Symfony2框架創(chuàng)建項(xiàng)目與模板設(shè)置實(shí)例詳解
這篇文章主要介紹了Symfony2框架創(chuàng)建項(xiàng)目與模板設(shè)置的方法,結(jié)合實(shí)例形式詳細(xì)分析了Symfony2框架的具體步驟與詳細(xì)實(shí)現(xiàn)代碼,需要的朋友可以參考下2016-03-03微信公眾平臺(tái)開(kāi)發(fā)(五) 天氣預(yù)報(bào)功能開(kāi)發(fā)
這篇文章主要介紹了微信公眾平臺(tái)開(kāi)發(fā)(五) 天氣預(yù)報(bào)功能開(kāi)發(fā) ,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧2016-12-12php調(diào)用快遞鳥(niǎo)接口實(shí)例代碼
這篇文章主要介紹了php調(diào)用快遞鳥(niǎo)接口實(shí)例代碼,需要的朋友可以參考下2017-10-10php根據(jù)身份證號(hào)碼計(jì)算年齡的實(shí)例代碼
我們只要知道身份證的生成規(guī)則就可以了,像下面我們從指定位置到多少位就是出日期了,然后我們把日期轉(zhuǎn)成時(shí)間戳然后進(jìn)行加減運(yùn)算就得出了年齡了,下面我們看實(shí)例2014-01-01