Kennen Sie die vier wichtigsten Sicherheitsstrategien von PHP?

In diesem Artikel werden hauptsächlich Dateisystemsicherheit, Datenbanksicherheit, Benutzerdatensicherheit und andere sicherheitsbezogene Themen in PHP vorgestellt

1. Dateisystemsicherheit
Wenn PHP über Root-Berechtigungen verfügt und Benutzern das Löschen von Dateien im Skript ermöglicht, löscht der Benutzer höchstwahrscheinlich Systemdateien, wenn der Benutzer Daten ohne Filterung übermittelt

<?php
// 从用户目录中删除指定的文件
$username = $_POST[&#39;user_submitted_name&#39;];
$userfile = $_POST[&#39;user_submitted_filename&#39;];
$homedir = "/home/$username";
unlink ("$homedir/$userfile");
echo "The file has been deleted!";
?>

Im obigen Code wird davon ausgegangen, dass der vom Benutzer übermittelte $userfile-Wert ../etc/ ist, dann wird das Verzeichnis /etc gelöscht
Um Angriffe auf das Dateisystem zu verhindern, lautet die Strategie wie folgt

Geben Sie PHP nur eingeschränkte Berechtigungen
Von Benutzern übermittelte Variablen müssen überwacht und gefiltert werden und dürfen keine Sonderzeichen wie Dateipfade enthalten
Versuchen Sie, die Verwendung von PHP zum Bearbeiten von Dateien (Löschen) zu vermeiden. Wenn dies erforderlich ist, können Benutzer dies tun. Gelöschte Dateien müssen ebenfalls vom System generierte Zufallsnamen sein und können nicht von Benutzern kontrolliert werden
2. Datenbanksicherheit
Die Datenbanksicherheit verhindert hauptsächlich SQL-Injection, Das heißt, SQL-Injection-Angriffe, Strategien zur Verbesserung der Datenbanksicherheit wie folgt:

Keine Notwendigkeit, das Root-Konto oder das Datenbankeigentümerkonto zu verwendenMit der Datenbank verbinden, stellen Sie eine Verbindung mit der Datenbank her, um die zu begrenzen IP des verbindenden Benutzers
Verwenden Sie die PDO-Erweiterung von PHP, um SQL-Injection wirksam zu verhindern, zusätzlich zu Sicherheitsaspekten. Vorteile: Die PDO-Erweiterung von PHP bietet große Leistungsvorteile
Bitte beachten Sie http://php.net/manual /en/pdo.prepared-statements.php
Verschlüsseln Sie einige vertrauliche Informationen, z. B. das Verschlüsseln von Passwörtern
3. Benutzerdatenfilterung
Das Filtern von Benutzerdaten kann XSS- und CSRF-Angriffe verhindern

Verwenden Sie eine Whitelist (Benutzereingaben sind ein festes Muster)
Wenn der Benutzername beispielsweise nur Zahlen und Buchstaben enthalten darf, können Sie die Funktion ctype_alnum verwenden, um Verwenden Sie die Funktion htmlentities oder
htmlspecialchars, um die Benutzereingabe zu verarbeiten. Eingabe-URL ist nicht zulässig. Eingehende Nicht-http-Protokolle Benutzerauthentifizierung verwendet Token-Token (csrf)
http://htmlpurifier.org / HTML Purifier ist eine effektive Open-Source-Lösung zur Verhinderung von XSS-Angriffen.

4. Andere Sicherheitsrichtlinien
Deaktivieren Sie die Fehlerberichterstattung in der Online-Umgebung (error_reporting,dislay_erros, Sie können den error_log-Pfad in php.ini konfigurieren, um Fehlerinformationen aufzuzeichnen, die dabei helfen, mögliche Benutzerangriffe zu erkennen) Globale Funktionen registrieren, veraltete (entfernte) Funktion, nicht verwenden
Magic Quotes-Funktion, nicht aktivieren, es wurde in PHP-5.4 entfernt
Versuchen Sie, die neueste Version von PHP zu verwenden, die neueste Version wurde behoben Viele bekannte Sicherheitslücken und Fehler
Halten Sie sich strikt an die oben genannten Strategien im Code, die dies grundsätzlich sicherstellen können Der Code weist nicht zu viele Sicherheitslücken auf und kann häufige Angriffe verhindern.

Das obige ist der detaillierte Inhalt vonKennen Sie die vier wichtigsten Sicherheitsstrategien von PHP?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!