PHP 開発におけるセキュリティ防止の知識
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。多くの場合、XSS は SQL インジェクションの最も大きな打撃を受ける領域です。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。
PHP コンパイル時のセキュリティ
Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります
php.ini セキュリティ設定
Register_global = オフ
magic_quotes_gpc = オフ
display_error = オフ
log_error = オン
#allow_url_fopen = オフ
expose_php = オフ
open_basedir =
セーフモード = オン
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =
DB SQL 前処理
mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
準備 + 実行(PDO)
ZendFramework は、mysql
のみに使用できる mysql_real_escape_string とは異なり、DB クラスの quote または quoteInto を使用できます。
ユーザー入力の処理
HTML タグを保持する必要がない場合は、次のメソッドを使用できます
ストリップタグ、文字列
内のすべての HTML タグを削除します
htmlspecialchars、文字「」、「;」、「'」
のみをエスケープします
htmlentities、すべての HTML をエスケープ
HTML タグを保持する必要がある場合は、次のツールを検討できます:
HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。
PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します
htmllawed: HTML を浄化およびフィルタリングするための PHP コード
ファイルをアップロード
is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。
ZF フレームワークでは、File_upload モジュール
の使用を検討できます。
セッション、Cookie、フォームのセキュリティ処理
重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。
"" />
POST から戻った後にパラメータを確認します
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "非表示のフォームデータが変更されました";
}
PHP セキュリティ検出ツール (XSS および SQL 挿入)
Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)
アン・ヤン/使い方:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS
Pixy: PHP 用 XSS および SQLI スキャナー (Pixy - PHP ソース コード欠陥分析ツール)
アン・ヤン: apt-get install default-jdk
PHPセッションを失敗させる可能性のあるいくつかの一般的な問題は何ですか?Apr 25, 2025 am 12:16 AMPHPSESSIONの障害の理由には、構成エラー、Cookieの問題、セッションの有効期限が含まれます。 1。構成エラー:正しいセッションをチェックして設定します。save_path。 2.Cookieの問題:Cookieが正しく設定されていることを確認してください。 3.セッションの有効期限:セッションを調整してください。GC_MAXLIFETIME値はセッション時間を延長します。
PHPでセッション関連の問題をどのようにデバッグしますか?Apr 25, 2025 am 12:12 AMPHPでセッションの問題をデバッグする方法は次のとおりです。1。セッションが正しく開始されるかどうかを確認します。 2.セッションIDの配信を確認します。 3.セッションデータのストレージと読み取りを確認します。 4.サーバーの構成を確認します。セッションIDとデータを出力し、セッションファイルのコンテンツを表示するなど、セッション関連の問題を効果的に診断して解決できます。
session_start()が複数回呼び出されるとどうなりますか?Apr 25, 2025 am 12:06 AMsession_start()への複数の呼び出しにより、警告メッセージと可能なデータ上書きが行われます。 1)PHPは警告を発し、セッションが開始されたことを促します。 2)セッションデータの予期しない上書きを引き起こす可能性があります。 3)session_status()を使用してセッションステータスを確認して、繰り返しの呼び出しを避けます。
PHPでセッションのライフタイムをどのように構成しますか?Apr 25, 2025 am 12:05 AMPHPでのセッションライフサイクルの構成は、session.gc_maxlifetimeとsession.cookie_lifetimeを設定することで達成できます。 1)session.gc_maxlifetimeサーバー側のセッションデータのサバイバル時間を制御します。 0に設定すると、ブラウザが閉じているとCookieが期限切れになります。
セッションを保存するためにデータベースを使用することの利点は何ですか?Apr 24, 2025 am 12:16 AMデータベースストレージセッションを使用することの主な利点には、持続性、スケーラビリティ、セキュリティが含まれます。 1。永続性:サーバーが再起動しても、セッションデータは変更されないままになります。 2。スケーラビリティ:分散システムに適用され、セッションデータが複数のサーバー間で同期されるようにします。 3。セキュリティ:データベースは、機密情報を保護するための暗号化されたストレージを提供します。
PHPでカスタムセッション処理をどのように実装しますか?Apr 24, 2025 am 12:16 AMPHPでのカスタムセッション処理の実装は、SessionHandlerInterfaceインターフェイスを実装することで実行できます。具体的な手順には、次のものが含まれます。1)CussentsessionHandlerなどのSessionHandlerInterfaceを実装するクラスの作成。 2)セッションデータのライフサイクルとストレージ方法を定義するためのインターフェイス(オープン、クローズ、読み取り、書き込み、破壊、GCなど)の書き換え方法。 3)PHPスクリプトでカスタムセッションプロセッサを登録し、セッションを開始します。これにより、データをMySQLやRedisなどのメディアに保存して、パフォーマンス、セキュリティ、スケーラビリティを改善できます。
セッションIDとは何ですか?Apr 24, 2025 am 12:13 AMSessionIDは、ユーザーセッションのステータスを追跡するためにWebアプリケーションで使用されるメカニズムです。 1.ユーザーとサーバー間の複数のインタラクション中にユーザーのID情報を維持するために使用されるランダムに生成された文字列です。 2。サーバーは、ユーザーの複数のリクエストでこれらの要求を識別および関連付けるのに役立つCookieまたはURLパラメーターを介してクライアントに生成および送信します。 3.生成は通常、ランダムアルゴリズムを使用して、一意性と予測不可能性を確保します。 4.実際の開発では、Redisなどのメモリ内データベースを使用してセッションデータを保存してパフォーマンスとセキュリティを改善できます。
ステートレス環境(APIなど)でセッションをどのように処理しますか?Apr 24, 2025 am 12:12 AMAPIなどのステートレス環境でのセッションの管理は、JWTまたはCookieを使用して達成できます。 1。JWTは、無国籍とスケーラビリティに適していますが、ビッグデータに関してはサイズが大きいです。 2.cookiesはより伝統的で実装が簡単ですが、セキュリティを確保するために慎重に構成する必要があります。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境
ホットトピック
7699
15164014139352128725123029