制作安全性高的PHP網(wǎng)站的幾個實(shí)用要點(diǎn)

2020-03-22 20:17:14

字體：大中小

供稿：網(wǎng)友

大家都知道PHP已經(jīng)是當(dāng)前最流行的Web應(yīng)用編程語言了。但是也與其他腳本語言一樣，PHP也有幾個很危險的安全漏洞。所以在這篇教學(xué)文章中，我們將大致看看幾個實(shí)用的技巧來讓你避免一些常見的PHP安全問題。技巧1：使用合適的錯誤報告一般在開發(fā)過程中，很多程序員總是忘了制作html' target='_blank'>程序錯誤報告，這是極大的錯誤，因?yàn)榍‘?dāng)?shù)腻e誤報告不僅僅是最好的調(diào)試工具，也是極佳的安全漏洞檢測工具，這能讓你把應(yīng)用真正上線前盡可能找出你將會遇到的問題。
當(dāng)然也有很多方式去啟用錯誤報告。比如在 php.in 配置文件中你可以設(shè)置在運(yùn)行時啟用
啟動錯誤報告
error_reporting(E_ALL);
停用錯誤報告
error_reporting(0);技巧2：不使用PHP的Weak屬性有幾個PHP的屬性是需要被設(shè)置為OFF的。一般它們都存在于PHP4里面，而在PHP5中是不推薦使用的。尤其最后在PHP6里面，這些屬性都被移除了。注冊全局變量
當(dāng) register_globals 被設(shè)置為ON時，就相當(dāng)于設(shè)置Environment，GET,POST,COOKIE或者Server變量都定義為全局變量。此時你根本不需要去寫 $_POST[‘username']來獲取表單變量'username'，只需要'$username'就能獲取此變量了。
那么你肯定在想既然設(shè)置 register_globals 為 ON 有這么方便的好處，那為什么不要使用呢？因?yàn)槿绻氵@樣做將會帶來很多安全性的問題，而且也可能與局部變量名稱相沖突。
比如先看看下面的代碼：復(fù)制代碼代碼如下:
if( !empty( $_POST[‘username'] ) && $_POST[‘username'] == ‘test123′ && !empty( $_POST[‘password'] ) && $_POST[‘password'] == “pass123″ )
{
$access = true;
}
如果運(yùn)行期間, register_globals 被設(shè)置為ON，那么用戶只需要傳輸 access=1 在一句查詢字符串中就能獲取到PHP腳本運(yùn)行的任何東西了。
在.htaccess中停用全局變量復(fù)制代碼代碼如下:
php_flag register_globals 0
在php.ini中停用全局變量復(fù)制代碼代碼如下:
register_globals = Off
停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes
在.htaccess文件中設(shè)置復(fù)制代碼代碼如下:
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設(shè)置復(fù)制代碼代碼如下:
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧3：驗(yàn)證用戶輸入你當(dāng)然也可以驗(yàn)證用戶的輸入，首先必須知道你期望用戶輸入的數(shù)據(jù)類型。這樣就能在瀏覽器端做好防御用戶惡意攻擊你的準(zhǔn)備。技巧4：避免用戶進(jìn)行交叉站點(diǎn)腳本攻擊在Web應(yīng)用中，都是簡單地接受用戶輸入表單然后反饋結(jié)果。在接受用戶輸入時，如果允許HTML格式輸入將是非常危險的事情，因?yàn)檫@也就允許了JavaScript以不可預(yù)料的方式侵入后直接執(zhí)行。哪怕只要有一個這樣漏洞，cookie數(shù)據(jù)都可能被盜取進(jìn)而導(dǎo)致用戶的賬戶被盜取。技巧5：預(yù)防SQL注入攻擊PHP基本沒有提供任何工具來保護(hù)你的數(shù)據(jù)庫，所以當(dāng)你連接數(shù)據(jù)庫時，你可以使用下面這個mysqli_real_escape_string 函數(shù)。復(fù)制代碼代碼如下:
$username = mysqli_real_escape_string( $GET[‘username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = '”.$username.“‘”);
好了，在這篇簡短的文章中，我們闡述了幾個開發(fā)過程中不能忽視的PHP安全性問題。但是最終是否使用，如何使用還是開發(fā)人員來決定的。希望這篇文章能幫助到你們。PHP教程

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。

上一篇：深入理解php中的ini配置(1)

下一篇：Laravel 5 多個視圖共享數(shù)據(jù)的方法