PHP のセキュリティ上の注意事項
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。これらの Web サイトは、XSS や SQL インジェクションの最も大きな被害を受けることがよくあります。ここでは、システムセキュリティの観点から、php の基本的なプログラミングのポイントを簡単に紹介します。 セキュリティ上の予防策として、プログラマはユーザーが入力するさまざまなパラメータについてより注意する必要があります。
?
php コンパイル時のセキュリティ
?
Suhosinのインストールをお勧めします パッチ、セキュリティ パッチをインストールする必要があります
?
?
php .ini セキュリティ設定
?
register_global = オフ
magic_quotes_gpc = オフ
表示エラー = オフ
log_error = オン
#allow_url_fopen = オフ
Expose_php = オフ
open_basedir =
セーフモード = オン
無効化機能 =
exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =
mysql_real_escape_string
(多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが GBK エンコード 0xbf27不是一个合法字符,因此
で 0xbf27 を使用して一重引用符を置き換えることができることです。
addlashes は 0xbf5c27 を有効なマルチバイト文字に変換するだけで、0xbf5c は依然として一重引用符とみなされます。詳細については、この記事を参照してください。
)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
準備 + 実行(PDO
)
ZendFramework は DB クラスの quote または quoteInto を使用できます。これら 2 つのメソッドは、mysql
HTMLタグを保持する必要がない場合は、次の方法を使用できます
strip_tags
、文字列内のすべての HTML タグ
htmlspecialchars を削除します
、文字「8a43c7dd0f94d2c178c3c05657689ef4」、「;」、「'」
htmlentities のみをエスケープします
、すべての HTML をエスケープします
?
HTML タグを保存する必要がある場合は、次のツールを検討してください:
HTML Purifier
: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。
.
PHP HTML サニタイザー
: HTML コードから安全でないタグと属性を削除します
htmllawed
: PHP
HTML を精製してフィルタリングするコード
is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。そしてアップロードディレクトリPHPを削除することで ユーザーがPHPをアップロードできないようにする機能について説明します スクリプト。
ZF フレームワークで File_upload モジュール
重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。
?
<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/> <input type="hidden" name="H[age]" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />?
POST から戻った後にパラメータを確認します
?
$str = ""; foreach($_POST['H'] as $key=>$value) $str .= $key.$value; if($_POST['hash'] != md5($str.$secret)) echo "Hidden form data modified"; exit;?
?
PHP セキュリティ検出ツール (XSS および SQL 挿入)
?ワピティ - Web アプリケーション セキュリティ監査者 (Wapiti - コンパクトなサイト脆弱性検出ツール) ) (SQLインジェクション/XSS攻撃チェックツール)
ヤン/使用説明:apt-get install libtidy-0.99-0 python-ctypes python-utidylib<br>
python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS
apt-get install libtidy-0.99-0 python-ctypes python-utidylib<br>
python wapiti.py http://Your Website URL/ -m GET_XSS
ピクシー
: PHP 用 XSS および SQLI スキャナー
(Pixy - PHP ソースコード欠陥分析ツール
)
アン・ヤン:
apt-get install default-jdk
リモート PHP 脆弱性スキャナー
(自動化されたPHP
ページ欠陥分析、強力なXSS検出機能)
PHPIDS - PHP侵入検知システム
?
?
?
?
?
?