PHP里8個鮮為人知的安全函數分析

2020-03-22 17:56:39

字體：大中小

來源：轉載

供稿：網友

本文實例講述了PHP里8個鮮為人知的安全函數。分享給大家供大家參考。具體分析如下：安全是編程非常重要的一個方面。在任何一種編程語言中，都提供了許多的函數或者模塊來確保程序的安全性。在現代網站應用中，經常要獲取來自世界各地用戶的輸入，但是，我們都知道“永遠不能相信那些用戶輸入的數據”。所以在各種的Web開發語言中，都會提供保證用戶輸入數據安全的函數。這里我們就來看看，在著名的開源語言PHP中有哪些有用的安全函數。在PHP中，有些很有用的函數開源非常方便的防止你的網站遭受各種攻擊，例如SQL注入攻擊，XSS（Cross Site Scripting：跨站腳本）攻擊等。一起看看PHP中常用的、可以確保項目安全的函數。注意，這并不是完整的列表，是我覺得對于你的i項目很有的一些函數。 1. mysql_real_escape_string() 這個函數在PHP中防止SQL注入攻擊時非常有用。這個函數會對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些數據之前，用戶提供的輸入是干凈的。但要注意，你是在連接數據庫的前提下使用這個函數。
但是現在已經不推薦使用mysql_real_escape_string()了，所有新的應用應該使用像PDO一樣的函數庫執行數據庫操作，也就是說，我們可以使用現成的語句防止SQL注入攻擊。 2. addslashes() 這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini文件中，“magic_quotes_gpc“的值是“on”的時候，就不要使用這個函數。magic_quotes_gpc 的默認值是on，對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes()，因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函數來確定它是否開啟。 3. htmlentities() 這個函數對于過濾用戶輸入的數據非常有用。它會將一些特殊字符轉換為HTML實體。例如，用戶輸入時，就會被該函數轉化為HTML實體（<），輸入就被轉為實體>. 4. htmlspecialchars() 在HTML中，一些特定字符有特殊的含義，如果要保持字符原來的含義，就應該轉換為HTML實體。這個函數會返回轉換后的字符串，例如'&' (ampersand) 轉為'&' ps:此處原文有誤，在此非常感謝瑾瑜提出。現已更正，另外附上此函數常見的轉換字符： The translations performed are:
'&' (ampersand) becomes ' '
'”' (double quote) becomes ' ' when ENT_NOQUOTES is not set.
“'” (single quote) becomes ' ' (or ) only when ENT_QUOTES is set.
' ' (less than) becomes ' '
' ' (greater than) becomes ' ' 5. strip_tags() 這個函數可以去除字符串中所有的HTML，JavaScript和PHP標簽，當然你也可以通過設置該函數的第二個參數，讓一些特定的標簽出現。 6. md5() 從安全的角度來說，一些開發者在數據庫中存儲簡單的密碼的行為并不值得推薦。md5()函數可以產生給定字符串的32個字符的md5散列，而且這個過程不可逆，即你不能從md5()的結果得到原始字符串。
現在這個函數并不被認為是安全的，因為開源的數據庫可以反向檢查一個散列值的明文。你可以在這里找到一個MD5散列數據庫列表 7. sha1() 這個函數與md5()類似，但是它使用了不同的算法來產生40個字符的SHA-1散列（md5產生的是32個字符的散列）。也不要把絕對安全寄托在這個函數上，否則會有意想不到的結果。 8. intval() 先別笑，我知道這個函數和安全沒什么關系。intval()函數是將變量轉成整數類型，你可以用這個函數讓你的PHP代碼更安全，特別是當你在解析id，年齡這樣的數據時。此處附上英文原文地址：http://www.pixelstech.net/article/1300722997-Useful-functions-to-provide-secure-PHP-application 希望本文所述對大家的PHP程序設計有所幫助。PHP教程

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。

上一篇：10個簡化PHP開發的工具

下一篇：php判斷當前用戶已在別處登錄的方法