PHP保険による保護

PHP のセキュリティ上の注意事項

PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。これらの Web サイトは、XSS や SQL インジェクションの最も大きな被害を受けることがよくあります。ここでは、システムセキュリティの観点から、php の基本的なプログラミングのポイントを簡単に紹介します。 セキュリティ上の予防策として、プログラマはユーザーが入力するさまざまなパラメータについてより注意する必要があります。

?

php コンパイル時のセキュリティ

?

Suhosinのインストールをお勧めします パッチ、セキュリティ パッチをインストールする必要があります

?

?

php .ini セキュリティ設定

?

register_global = オフ
magic_quotes_gpc = オフ
表示エラー = オフ
log_error = オン
#allow_url_fopen = オフ
Expose_php = オフ
open_basedir =
セーフモード = オン
無効化機能 = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL 前処理

mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが GBK エンコード 0xbf27不是一个合法字符，因此 で 0xbf27 を使用して一重引用符を置き換えることができることです。 addlashes は 0xbf5c27 を有効なマルチバイト文字に変換するだけで、0xbf5c は依然として一重引用符とみなされます。詳細については、この記事を参照してください。 ）。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。

準備 + 実行(PDO )
ZendFramework は DB クラスの quote または quoteInto を使用できます。これら 2 つのメソッドは、mysql

に対してのみ使用できる mysql_real_escape_string とは異なります。

ユーザー入力の処理

HTMLタグを保持する必要がない場合は、次の方法を使用できます

strip_tags 、文字列内のすべての HTML タグ
htmlspecialchars を削除します 、文字「8a43c7dd0f94d2c178c3c05657689ef4」、「;」、「'」
htmlentities のみをエスケープします 、すべての HTML をエスケープします

?

HTML タグを保存する必要がある場合は、次のツールを検討してください:
HTML Purifier : HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。 .
PHP HTML サニタイザー : HTML コードから安全でないタグと属性を削除します
htmllawed : PHP HTML を精製してフィルタリングするコード

ファイルをアップロードする

is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。そしてアップロードディレクトリPHPを削除することで ユーザーがPHPをアップロードできないようにする機能について説明します スクリプト。

ZF フレームワークで File_upload モジュール

の使用を検討できます。

セッション、Cookie、フォームの安全な処理

重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。

?

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

?

POST から戻った後にパラメータを確認します

?

$str = "";
foreach($_POST['H'] as $key=>$value)
  $str .= $key.$value;

if($_POST['hash'] != md5($str.$secret)) 
  echo "Hidden form data modified"; exit;

?

?

PHP セキュリティ検出ツール (XSS および SQL 挿入)

?

ワピティ - Web アプリケーション セキュリティ監査者 (Wapiti - コンパクトなサイト脆弱性検出ツール) ) (SQLインジェクション/XSS攻撃チェックツール)

ヤン/使用説明:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib<br> python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS apt-get install libtidy-0.99-0 python-ctypes python-utidylib<br> python wapiti.py http://Your Website URL/ -m GET_XSS

ピクシー : PHP 用 XSS および SQLI スキャナー (Pixy - PHP ソースコード欠陥分析ツール )
アン・ヤン:
apt-get install default-jdk

リモート PHP 脆弱性スキャナー (自動化されたPHP ページ欠陥分析、強力なXSS検出機能)
PHPIDS - PHP侵入検知システム

?

?

?

?

?

?

?