大家都知道PHP已經(jīng)是當前最流行的Web應用編程語言了。但是也與其他腳本語言一樣叭首,PHP也有幾個很危險的安全漏洞。所以在這篇教學文章中,我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題龄坪。
技巧1:使用合適的錯誤報告
一般在開發(fā)過程中,很多程序員總是忘了制作程序錯誤報告复唤,這是極大的錯誤健田,因為恰當?shù)腻e誤報告不僅僅是最好的調試工具,也是極佳的安全漏洞檢測工具佛纫,這能讓你把應用真正上線前盡可能找出你將會遇到的問題妓局。
當然也有很多方式去啟用錯誤報告。比如在 php.in 配置文件中你可以設置在運行時啟用
啟動錯誤報告
error_reporting(E_ALL);
停用錯誤報告
error_reporting(0);
技巧2:不使用PHP的Weak屬性 有幾個PHP的屬性是需要被設置為OFF的呈宇。一般它們都存在于PHP4里面好爬,而在PHP5中是不推薦使用的。尤其最后在PHP6里面甥啄,這些屬性都被移除了存炮。
注冊全局變量
當 register_globals 被設置為ON時,就相當于設置Environment,GET,POST,COOKIE或者Server變量都定義為全局變量穆桂。此時你根本不需要去寫 POST[′username′]來獲取表單變量′username′宫盔,只需要′username'就能獲取此變量了。
那么你肯定在想既然設置 register_globals 為 ON 有這么方便的好處享完,那為什么不要使用呢灼芭?因為如果你這樣做將會帶來很多安全性的問題,而且也可能與局部變量名稱相沖突驼侠。
比如先看看下面的代碼:
if( !empty( _POST['username'] ) &&_POST['username'] == ‘test123′ && !empty( _POST['password'] ) &&_POST['password'] == “pass123″ )
{
$access = true;
}
如果運行期間, register_globals 被設置為ON姿鸿,那么用戶只需要傳輸 access=1 在一句查詢字符串中就能獲取到PHP腳本運行的任何東西了。
在.htaccess中停用全局變量
php_flag register_globals 0
在php.ini中停用全局變量
register_globals = Off
停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes
在.htaccess文件中設置
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設置
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧3:驗證用戶輸入 你當然也可以驗證用戶的輸入倒源,首先必須知道你期望用戶輸入的數(shù)據(jù)類型苛预。這樣就能在瀏覽器端做好防御用戶惡意攻擊你的準備。
技巧4:避免用戶進行交叉站點腳本攻擊 在Web應用中笋熬,都是簡單地接受用戶輸入表單然后反饋結果热某。在接受用戶輸入時,如果允許HTML格式輸入將是非常危險的事情胳螟,因為這也就允許了JavaScript以不可預料的方式侵入后直接執(zhí)行昔馋。哪怕只要有一個這樣漏洞,cookie數(shù)據(jù)都可能被盜取進而導致用戶的賬戶被盜取糖耸。
技巧5:預防SQL注入攻擊 PHP基本沒有提供任何工具來保護你的數(shù)據(jù)庫秘遏,所以當你連接數(shù)據(jù)庫時,你可以使用下面這個mysqli_real_escape_string 函數(shù)嘉竟。
$username = mysqli_real_escape_string( $GET['username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);
好了邦危,在這篇簡短的文章中,我們闡述了幾個開發(fā)過程中不能忽視的PHP安全性問題舍扰。但是最終是否使用倦蚪,如何使用還是開發(fā)人員來決定的。希望這篇文章能幫助到你們边苹。
更多PHP相關技術請搜索千鋒PHP陵且,做真實的自己,用良心做教育个束。
互聯(lián)網(wǎng)+時代慕购,時刻要保持學習,攜手千鋒PHP,Dream It Possible播急。
