高セキュリティの PHP Web サイトを作成するためのいくつかの実践的なポイント
PHP が現在最も人気のある Web アプリケーション プログラミング言語であることは誰もが知っています。しかし、他のスクリプト言語と同様に、PHP にもいくつかの危険なセキュリティ ホールがあります。したがって、このチュートリアルでは、一般的な PHP セキュリティ問題を回避するのに役立ついくつかの実践的なヒントを見ていきます。
ヒント 1: 適切なエラー レポートを使用する
一般に、多くのプログラマは、開発プロセス中に常にプログラム エラー レポートを作成することを忘れます。エラー報告は、最良のデバッグ ツールであるだけでなく、優れたセキュリティ脆弱性検出ツールでもあり、アプリケーションをオンラインにする前に、発生する可能性のある問題を可能な限り見つけることができます。
もちろん、エラー報告を有効にする方法はたくさんあります。たとえば、php.in 設定ファイルでは、
エラー報告を有効にする
error_reporting(E_ALL);
エラー報告を無効にする
error_reporting(0);ヒント 2: PHP の弱い属性を使用しない OFF に設定する必要がある PHP 属性がいくつかあります。通常、これらは PHP4 に存在しますが、PHP5 では使用は推奨されません。特に PHP6 では、これらの属性が削除されました。
グローバル変数の登録
register_globals を ON に設定すると、環境変数、GET、POST、COOKIE またはサーバー変数がグローバル変数として定義されるように設定するのと同じになります。現時点では、フォーム変数「username」を取得するために $_POST['username'] を記述する必要はありません。この変数を取得するには、「$username」だけが必要です。 では、 register_globals を ON に設定するとこんなに便利なメリットがあるのだから、ぜひ使ってみてはいかがでしょうか?これを行うと多くのセキュリティ上の問題が発生し、ローカル変数名と競合する可能性があるためです。 たとえば、次のコードを見てください:if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST['password'] ) && $_POST['password'] == “pass123″ ){$access = true;} 実行時に register_globals が ON に設定されている場合、ユーザーはクエリ文字列で access=1 を送信するだけで済みます。 PHP スクリプトから何かを実行するために取得します。 .htaccess でグローバル変数を無効にする
php_flag register_globals 0
php.ini でグローバル変数を無効にする
register_globals = Off
magic_quotes_gpc、magic_quotes_runtime、magic_quotes_sybase などのマジック クオートを無効にする
.htaccess ファイルで設定php_flag magic_quotes_gpc 0php_flag magic_quotes_runtime 0php.ini で設定
magic_quotes_gpc = Offmagic_quotes_runtime = Offmagic_quotes_sybase = Offヒント3: ユーザー入力を検証する もちろん、ユーザー入力を検証することもできます。まず、ユーザーが入力することが予想されるデータ型を知っておく必要があります。このようにして、ユーザーによる悪意のある攻撃をブラウザ側で防ぐことができます。 ヒント 4: ユーザーによるクロスサイト スクリプティング攻撃を回避する Web アプリケーションでは、ユーザーは単にフォーム入力を受け入れ、結果をフィードバックします。ユーザー入力を受け入れる場合、HTML 形式の入力を許可すると、JavaScript が予期しない方法で侵入して直接実行される可能性があるため、非常に危険です。このような脆弱性が 1 つでもあると、Cookie データが盗まれ、ユーザーのアカウントが盗まれる可能性があります。 ヒント 5: SQL インジェクション攻撃を防ぐ PHP は基本的にデータベースを保護するツールを提供していないため、データベースに接続するときに、以下の mysqli_real_escape_string 関数を使用できます。
$username = mysqli_real_escape_string( $GET['username'] );mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);この短い記事では、開発プロセス中に無視できないいくつかの PHP セキュリティ問題について詳しく説明します。ただし、それを使用するかどうか、および使用方法を決定するのは最終的に開発者次第です。この記事があなたのお役に立てば幸いです。
php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PMphp把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。
php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。
php字符串有没有下标Apr 24, 2022 am 11:49 AMphp字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。
php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PMphp除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。
php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。
php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。
php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。
php怎么查找字符串是第几位Apr 22, 2022 pm 06:48 PM查找方法:1、用strpos(),语法“strpos("字符串值","查找子串")+1”;2、用stripos(),语法“strpos("字符串值","查找子串")+1”。因为字符串是从0开始计数的,因此两个函数获取的位置需要进行加1处理。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
Dreamweaver Mac版
ビジュアル Web 開発ツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。
EditPlus 中国語クラック版
サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません
ホットトピック
7422
15135952