|
|
注冊(cè)全局變量的出現(xiàn)曾經(jīng)讓php變得非常易用,但也降低了安全性(方便之處經(jīng)常會(huì)破壞安全性)。建議在編程時(shí)把register_globals指令關(guān)閉,在php6中這個(gè)功能也會(huì)被取消。
2.在使用變量之前對(duì)其進(jìn)行初始化。
如果register_globals功能是啟動(dòng)的,即使程序員不使用它,惡意用戶也可能利用為初始化變量的漏洞來侵入我們的系統(tǒng)。比如:
if(conditon){
$auth=TRUE;
}
如果變量$auth沒有在這段之前被初始化為FALSE,那么用戶就可以向腳本傳遞$_GET[‘a(chǎn)uth']、$_POST[‘a(chǎn)uth']或$_COOKIE[‘a(chǎn)uth']輕易的實(shí)現(xiàn)驗(yàn)證。
3.檢驗(yàn)和凈化全部輸入數(shù)據(jù)。
4.在利用變量引用包含文件時(shí)要小心。
如果腳本中有這樣的代碼:
require($page);
那么就應(yīng)該確保$page不會(huì)來自外部資源(比如$_GET),或者,如果它的確來自于外部資源,那么就要確保它包含適當(dāng)?shù)闹怠?
5.在使用任何服務(wù)器上執(zhí)行命令的函數(shù)都要多加小心。
這些函數(shù)包括eval()、exec()、system()、passthru()、popen()和反撇號(hào)(``)。這些函數(shù)都能夠在服務(wù)器上執(zhí)行命令,永遠(yuǎn)都不要隨意使用。如果在命令里不得不包含便來那個(gè),就應(yīng)該對(duì)這個(gè)變量進(jìn)行徹底的安全檢查。還應(yīng)該使用escapeshellarg() escapeshellcom()進(jìn)行額外的預(yù)處理。
6.更改默認(rèn)的會(huì)話目錄,或者使用數(shù)據(jù)庫保存會(huì)話數(shù)據(jù)。
7.不要使用瀏覽器提供的文件名在服務(wù)器上保存上傳的文件。
8.如果被提交的數(shù)據(jù)需要在web頁面中重新顯示,一定要注意其中的HTML,更重要的是JavaSCRIPT
可以利用函數(shù)
string htmlspecialchars ( string string [, int quote_style [, string charset]])
對(duì)提交的數(shù)據(jù)進(jìn)行處理
9。不要在站點(diǎn)上暴露你的php錯(cuò)誤信息
php錯(cuò)誤信息能夠在你開發(fā)的過程中把錯(cuò)誤信息輸出方便你的檢查,但是如果暴露在Web上面,很可以成為攻擊者的入口。
10.防止SQL注入攻擊。
應(yīng)該使用特定語言的數(shù)據(jù)庫轉(zhuǎn)義函數(shù),比如mysqli_real_escape_data(),確保提交的內(nèi)容不會(huì)破壞查詢操作。
11.永遠(yuǎn)不要在服務(wù)器上保存phpinfo()腳本。
php技術(shù):PHP安全技術(shù)之 實(shí)現(xiàn)php基本安全,轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
