安全是程式設計非常重要的一個方面。在任何一種程式設計語言中,都提供了許多的函數或者子產品來確定程式的安全性。在現代網站應用中,經常要擷取來自世界各地使用者的輸入,但是,我們都知道“永遠不能相信那些使用者輸入的資料”。是以在各種的web開發語言中,都會提供保證使用者輸入資料安全的函數。今天,我們就來看看,在著名的開源語言php中有哪些有用的安全函數。
在php中,有些很有用的函數開源非常友善的防止你的網站遭受各種攻擊,例如sql注入攻擊,xss(cross site scripting:跨站腳本)攻擊等。一起看看php中常用的、可以確定項目安全的函數。注意,這并不是完整的清單,是我覺得對于你的i項目很有的一些函數。
這個函數在php中防止sql注入攻擊時非常有用。這個函數會對一些例如單引号、雙引号、反斜杠等特殊字元添加一個反斜杠以確定在查詢這些資料之前,使用者提供的輸入是幹淨的。但要注意,你是在連接配接資料庫的前提下使用這個函數。
但是現在已經不推薦使用mysql_real_escape_string()了,所有新的應用應該使用像pdo一樣的函數庫執行資料庫操作,也就是說,我們可以使用現成的語句防止sql注入攻擊。
這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini檔案中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函數。magic_quotes_gpc 的預設值是on,對所有的 get、post 和 cookie 資料自動運作 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字元串使用 addslashes(),因為這樣會導緻雙層轉義。你可以使用get_magic_quotes_gpc()函數來确定它是否開啟。
在html中,一些特定字元有特殊的含義,如果要保持字元原來的含義,就應該轉換為html實體。這個函數會傳回轉換後的字元串,例如‘&’ (ampersand) 轉為’&amp‘(ps:請參照第三點中的實體對照表連結)
the translations performed are: ‘&’ (ampersand) becomes ‘&amp;’ ‘”‘ (double quote) becomes ‘&quot;’ when ent_noquotes is not set. “‘” (single quote) becomes ‘&#039;’ (or &apos;) only when ent_quotes is set. ‘<’ (less than) becomes ‘&lt;’ ‘>’ (greater than) becomes ‘&gt;’
這個函數可以去除字元串中所有的html,javascript和php标簽,當然你也可以通過設定該函數的第二個參數,讓一些特定的标簽出現。
從安全的角度來說,一些開發者在資料庫中存儲簡單的密碼的行為并不值得推薦。md5()函數可以産生給定字元串的32個字元的md5散列,而且這個過程不可逆,即你不能從md5()的結果得到原始字元串。
這個函數與md5()類似,但是它使用了不同的算法來産生40個字元的sha-1散列(md5産生的是32個字元的散列)。也不要把絕對安全寄托在這個函數上,否則會有意想不到的結果。
先别笑,我知道這個函數和安全沒什麼關系。intval()函數是将變量轉成整數類型,你可以用這個函數讓你的php代碼更安全,特别是當你在解析id,年齡這樣的資料時。
原文釋出時間:2014-11-08
本文來自雲栖合作夥伴“linux中國”
![GitHub連夜封殺!這份阿裡 10W 字内部 Java 字面試手冊到底有多強?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)