Sécurité PHP - Suivi des données

Données de suivi

En tant que développeur soucieux de la sécurité, l’une des choses les plus importantes est de garder une trace de vos données à tout moment. Non seulement pour savoir de quoi il s’agit et où il se trouve, mais aussi pour savoir d’où il vient et où il va. Il est parfois difficile de le faire, surtout si vous ne comprenez pas parfaitement le fonctionnement du Web. C'est pourquoi certains développeurs font souvent des erreurs et créent des failles de sécurité alors qu'ils ne sont pas très expérimentés dans le Web, alors même qu'ils sont expérimentés dans d'autres environnements de développement.

Lorsque la plupart des gens lisent EMAIL, ils ne reçoivent généralement pas le titre « Re : Bonjour" et autres spams car ils savent que le sujet qui ressemble à une réponse peut être falsifié. Par conséquent, cet email n'est pas nécessairement une réponse à l'email précédent avec le sujet "Bonjour". Bref, les gens savent ne pas en mettre trop beaucoup de confiance dans ce sujet, mais peu de gens se rendent compte que l'adresse de l'expéditeur peut être usurpée et croient à tort qu'elle peut montrer de manière fiable l'origine de l'e-mail

. Le Web est très similaire. L’une des choses que je souhaite vous apprendre est de savoir comment faire la distinction entre les données fiables et non fiables. Faire cela n’est souvent pas facile, et deviner aveuglement n’est pas la solution.

PHP utilise des tableaux super globaux tels que $_GET, $_POST, et $_COOKIE indiquent clairement la source des données utilisateur. Un système de dénomination strict peut garantir que vous connaissez la source de toutes les données dans n'importe quelle partie du code du programme, ce que j'ai toujours démontré et souligné.

Il est extrêmement important de savoir où les données entrent dans votre programme, et il est également important de savoir où les données quittent votre programme. Par exemple, lorsque vous utilisez la commande echo, vous envoyez des données au client ; lorsque vous utilisez mysql_query, vous envoyez des données à la base de données MySQL (même si votre objectif peut être de récupérer les données).

Lorsque j'audite le code PHP pour détecter les failles de sécurité, je vérifie principalement les parties du code qui interagissent avec des systèmes externes. Cette partie du code est susceptible de contenir des failles de sécurité, c'est pourquoi une attention particulière doit être portée lors du développement et de l'inspection du code.

Ce qui précède est le contenu des données de suivi de sécurité PHP. Pour plus de contenu connexe, veuillez faire attention au site Web PHP chinois (www.php.cn) !