大家都知道php已經是目前最流行的web應用程式設計語言了。但是也與其他腳本語言一樣,php也有幾個很危險的安全漏洞。是以在這篇教學文章中,我們将大緻看看幾個實用的技巧來讓你避免一些常見的php安全問題。
技巧1:使用合适的錯誤報告
一般在開發過程中,很多程式員總是忘了制作程式錯誤報告,這是極大的錯誤,因為恰當的錯誤報告不僅僅是最好的調試工具,也是極佳的安全漏洞檢測工具,這能讓你把應用真正上線前盡可能找出你将會遇到的問題。
當然也有很多方式去啟用錯誤報告。比如在 php.in 配置檔案中你可以設定在運作時啟用
啟動錯誤報告
error_reporting(e_all);
停用錯誤報告
error_reporting(0);
技巧2:不使用php的weak屬性 有幾個php的屬性是需要被設定為off的。一般它們都存在于php4裡面,而在php5中是不推薦使用的。尤其最後在php6裡面,這些屬性都被移除了。
注冊全局變量
當 register_globals 被設定為on時,就相當于設定environment,get,post,cookie或者server變量都定義為全局變量。此時你根本不需要去寫 post[′username′]來擷取表單變量′username′,隻需要′username'就能擷取此變量了。
那麼你肯定在想既然設定 register_globals 為 on 有這麼友善的好處,那為什麼不要使用呢?因為如果你這樣做将會帶來很多安全性的問題,而且也可能與局部變量名稱相沖突。
比如先看看下面的代碼:
if( !empty( _post['username'] ) &&_post['username'] == ‘test123′ && !empty( _post['password'] ) &&_post['password'] == “pass123″ )
{
$access = true;
}
如果運作期間, register_globals 被設定為on,那麼使用者隻需要傳輸 access=1 在一句查詢字元串中就能擷取到php腳本運作的任何東西了。
在.htaccess中停用全局變量
php_flag register_globals 0
在php.ini中停用全局變量
register_globals = off
停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些magic quotes
在.htaccess檔案中設定
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設定
magic_quotes_gpc = off
magic_quotes_runtime = off
magic_quotes_sybase = off
技巧3:驗證使用者輸入 你當然也可以驗證使用者的輸入,首先必須知道你期望使用者輸入的資料類型。這樣就能在浏覽器端做好防禦使用者惡意攻擊你的準備。
技巧4:避免使用者進行交叉站點腳本攻擊 在web應用中,都是簡單地接受使用者輸入表單然後回報結果。在接受使用者輸入時,如果允許html格式輸入将是非常危險的事情,因為這也就允許了javascript以不可預料的方式侵入後直接執行。哪怕隻要有一個這樣漏洞,cookie資料都可能被盜取進而導緻使用者的賬戶被盜取。
技巧5:預防sql注入攻擊 php基本沒有提供任何工具來保護你的資料庫,是以當你連接配接資料庫時,你可以使用下面這個mysqli_real_escape_string 函數。
$username = mysqli_real_escape_string( $get['username'] );
mysql_query( “select * from tbl_employee where username = ’”.$username.“‘”);
好了,在這篇簡短的文章中,我們闡述了幾個開發過程中不能忽視的php安全性問題。但是最終是否使用,如何使用還是開發人員來決定的。希望這篇文章能幫助到你們。
該文章來自于阿裡巴巴技術協會(ata)
作者:姜東
![Centos 7 Apache配置虛拟主機[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)