简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Home
Article
Q&A
Course
Topic
Download
Game
Dictionary
Recent Updates

Home  >  Article  >  Backend Development  >  Detailed explanations and solutions to common security issues in PHP development

Detailed explanations and solutions to common security issues in PHP development

WBOY
WBOYOriginal
2016-07-29 09:15:40850browse

PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
这篇文章主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入、CSRF、Xss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF
前言:
首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。
1、php一些安全配置
(1)关闭php提示错误功能
在php.ini 中把display_errors改成

<code><span>display_errors = <span><span>OFF</span></span></span></code>

或在php文件前加入

<code><span><span>error_reporting</span><span>(<span>0</span>)</span></span></code>

1)使用error_reporting(0);失败的例子:
A文件代码:

<code><span><span><?</span>error_reporting(<span>0</span>);  
<span>echo</span><span>555</span><span>echo</span><span>444</span>;  
<span>?></span></span></code>

错误:

<code>Parse error: parse error, expecting <span>`','</span>' or <span>`';'</span>' in E:\webphp\2.php on line 4</code>

2)使用error_reporting(0);成功的例子:
a文件代码:

<code><span><span><?php</span>error_reporting(<span>0</span>);  
<span>include</span>(<span>"b.php"</span>);  
<span>?></span></span></code>

b文件代码:

<code><span><span><?php</span><span>echo</span><span>555</span><span>echo</span><span>444</span>;  
<span>?></span></span></code>

这是很多phper说用error_reporting(0)不起作用。第一个例子A.php里面有致命错误,导致不能执行,不能执行服务器则不知有这个功能,所以一样报错。
第二个例子中a.php成功执行,那么服务器知道有抑制错误功能,所以就算b.php有错误也抑制了。
ps:抑制不了mysql错误。

(2)关闭一些“坏功能”
1)关闭magic quotes功能

在php.ini 把magic_quotes_gpc = OFF
避免和addslashes等重复转义
2)关闭register_globals = Off
在php.ini 把register_globals = OFF
在register_globals = ON的情况下
地址栏目:http://www.jb51.net?bloger=benwin

<code><?php  
//<span>$bloger</span> = <span>$_GET</span>[<span>'bloger'</span>]   //因为register_globals = ON 所以这步不用了直接可以用<span>$bloger</span><span>echo</span><span>$bloger</span>;  
?></code>

这种情况下会导致一些未初始化的变量很容易被修改,这也许是致命的。所以把register_globals = OFF关掉
(3)严格配置文件权限。
为相应文件夹分配权限,比如包含上传图片的文件不能有执行权限,只能读取
2、严格的数据验证,你的用户不全是“好”人。
记得笔者和一个朋友在讨论数据验证的时候,他说了一句话:你不要把你用户个个都想得那么坏!但笔者想说的这个问题不该出现在我们开发情景中,我们要做的是严格验证控制数据流,哪怕10000万用户中有一个是坏用户也足以致命,再说好的用户也有时在数据input框无意输入中文的时,他已经不经意变“坏”了。
2.1为了确保程序的安全性,健壮性,数据验证应该包括
(1) 关键数据是否存在。如删除数据id是否存在
(2) 数据类型是否正确。如删除数据id是否是整数
(3) 数据长度。如字段是char(10)类型则要strlen判断数据长度
(4) 数据是否有危险字符
数据验证有些人主张是把功能完成后再慢慢去写安全验证,也有些是边开发边写验证。笔者偏向后者,这两种笔者都试过,然后发现后者写的验证相对健壮些,主要原因是刚开发时想到的安全问题比较齐全,等开发完功能再写时有两个问题,一个phper急于完成指标草草完事,二是确实漏掉某些point。
2.2程序员容易漏掉point或者说需要注意的事项:
(1) 进库数据一定要安全验证,笔者在广州某家公司参与一个公司内部系统开发的时候,见过直接把POSTclassFunctionName(

以上就介绍了PHP开发中常见的安全问题详解和解决方法,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Previous article:After adding data, a beautiful prompt message will be displayed without jumping to the page (non-ajax submission of data)Next article:After adding data, a beautiful prompt message will be displayed without jumping to the page (non-ajax submission of data)

Related articles

See more