検索
ホームページバックエンド開発PHPチュートリアル4 つの主要な PHP セキュリティ戦略_PHP チュートリアル

4 つの主要な PHP セキュリティ戦略_PHP チュートリアル

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jul 13, 2016 am 10:36 AM
phpPHPのセキュリティ

1. ファイル システムのセキュリティ
php に root 権限があり、ユーザーがスクリプト内のファイルを削除できる場合、ユーザーはフィルタリングせずにデータを送信するため、システム ファイルが削除される可能性が高くなります

//指定されたファイルをユーザーディレクトリから削除します
$username = $_POST['user_submitted_name'];
$userfile = $_POST['user_submitted_filename'];
$homedir = "/home/$username ";
unlink ("$homedir/$userfile");
echo "ファイルは削除されました!";
?>
上記のコードは、ユーザーによって送信された $userfile 値が ../etc/ であることを前提としています。 then / etcディレクトリは削除されます
ファイルシステム攻撃を防ぐための戦略は次のとおりです

PHP には制限された権限のみを与えてください
ユーザーが送信した変数は監視およびフィルタリングする必要があり、ファイル パスなどの特殊文字を含めることはできません
必要な場合は、PHP を使用したファイルの操作を避けるようにしてください。ファイルも削除します。これはシステムによって生成されるランダムな名前であり、ユーザーが制御することはできません
2. データベース セキュリティ
 データベース セキュリティは主に SQL インジェクション、つまり SQL インジェクション攻撃を防止します。以下に続きます:

データベースに接続するのに root アカウントやデータベース所有者アカウントを使用する必要はありません。
SQL インジェクションを効果的に防止するために php の pdo 拡張機能を使用します。 , php の pdo 拡張機能には、パフォーマンスの面で大きな利点があります
http://php.net/manual/en/pdo.prepared-statements.php を参照してください
パスワード暗号化などの一般的な情報を暗号化します
3.データ フィルタリング
 ユーザー データをフィルタリングし、XSS および CSRF 攻撃を防ぐことができます

ホワイトリストを使用します (ユーザー入力は固定パターンです)
たとえば、ユーザー名に数字と文字のみを使用できる場合は、関数 ctype_alnum を使用して決定できます
関数 htmlentities または htmlspecialchars を使用してユーザー入力を処理します。 URL は http 以外のプロトコルで渡すことはできません
ユーザー認証はトークン トークン (csrf) を使用します
http://htmlpurifier.org/ HTML Purifier は、dislay_erros を防ぐ効果的なオープンソース ソリューションです。php で error_log パスを設定できます。 .ini を使用してエラー情報を記録し、ユーザー攻撃の可能性を検出するのに役立ちます)
グローバルの登録、非推奨 (削除) 機能、使用しないでください マジッククオート機能、有効にしないでください、PHP-5.4 で削除されました
を使用してみてくださいPHP の最新バージョン。最新バージョンでは、多くの既知のセキュリティ ホールとバグが修正されています。コード内で上記の戦略を厳密に遵守し、コードに多くのセキュリティ ホールが存在しないことを基本的に保証します。




http://www.bkjia.com/PHPjc/740660.html

www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/740660.html技術記事 1. ファイル システムのセキュリティ。PHP に root 権限があり、ユーザーがスクリプト内のファイルを削除できる場合、ユーザーがフィルタリングせずにデータを送信すると、システム ファイルが削除される可能性が非常に高くなります。
声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
PHPの継続的な使用:その持久力の理由PHPの継続的な使用:その持久力の理由Apr 19, 2025 am 12:23 AM

まだ人気があるのは、使いやすさ、柔軟性、強力なエコシステムです。 1)使いやすさとシンプルな構文により、初心者にとって最初の選択肢になります。 2)Web開発、HTTP要求とデータベースとの優れた相互作用と密接に統合されています。 3)巨大なエコシステムは、豊富なツールとライブラリを提供します。 4)アクティブなコミュニティとオープンソースの性質は、それらを新しいニーズとテクノロジーの傾向に適応させます。

PHPおよびPython:類似点と相違点を調査しますPHPおよびPython:類似点と相違点を調査しますApr 19, 2025 am 12:21 AM

PHPとPythonはどちらも、Web開発、データ処理、自動化タスクで広く使用されている高レベルのプログラミング言語です。 1.PHPは、ダイナミックウェブサイトとコンテンツ管理システムの構築によく使用されますが、PythonはWebフレームワークとデータサイエンスの構築に使用されることがよくあります。 2.PHPはエコーを使用してコンテンツを出力し、Pythonは印刷を使用します。 3.両方ともオブジェクト指向プログラミングをサポートしますが、構文とキーワードは異なります。 4。PHPは弱いタイプの変換をサポートしますが、Pythonはより厳しくなります。 5. PHPパフォーマンスの最適化には、Opcacheおよび非同期プログラミングの使用が含まれますが、PythonはCprofileおよび非同期プログラミングを使用します。

PHPおよびPython:さまざまなパラダイムが説明されていますPHPおよびPython:さまざまなパラダイムが説明されていますApr 18, 2025 am 12:26 AM

PHPは主に手順プログラミングですが、オブジェクト指向プログラミング(OOP)もサポートしています。 Pythonは、OOP、機能、手続き上のプログラミングなど、さまざまなパラダイムをサポートしています。 PHPはWeb開発に適しており、Pythonはデータ分析や機械学習などのさまざまなアプリケーションに適しています。

PHPとPython:彼らの歴史を深く掘り下げますPHPとPython:彼らの歴史を深く掘り下げますApr 18, 2025 am 12:25 AM

PHPは1994年に発信され、Rasmuslerdorfによって開発されました。もともとはウェブサイトの訪問者を追跡するために使用され、サーバー側のスクリプト言語に徐々に進化し、Web開発で広く使用されていました。 Pythonは、1980年代後半にGuidovan Rossumによって開発され、1991年に最初にリリースされました。コードの読みやすさとシンプルさを強調し、科学的コンピューティング、データ分析、その他の分野に適しています。

PHPとPythonの選択:ガイドPHPとPythonの選択:ガイドApr 18, 2025 am 12:24 AM

PHPはWeb開発と迅速なプロトタイピングに適しており、Pythonはデータサイエンスと機械学習に適しています。 1.PHPは、単純な構文と迅速な開発に適した動的なWeb開発に使用されます。 2。Pythonには簡潔な構文があり、複数のフィールドに適しており、強力なライブラリエコシステムがあります。

PHPとフレームワーク:言語の近代化PHPとフレームワーク:言語の近代化Apr 18, 2025 am 12:14 AM

PHPは、多数のWebサイトとアプリケーションをサポートし、フレームワークを通じて開発ニーズに適応するため、近代化プロセスで依然として重要です。 1.PHP7はパフォーマンスを向上させ、新機能を紹介します。 2。Laravel、Symfony、Codeigniterなどの最新のフレームワークは、開発を簡素化し、コードの品質を向上させます。 3.パフォーマンスの最適化とベストプラクティスは、アプリケーションの効率をさらに改善します。

PHPの影響:Web開発などPHPの影響:Web開発などApr 18, 2025 am 12:10 AM

phphassiblasifly-impactedwebdevevermentandsbeyondit.1)itpowersmajorplatformslikewordpratsandexcelsindatabase interactions.2)php'sadaptableability allowsitale forlargeapplicationsusingframeworkslikelavel.3)

スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか?スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか?Apr 17, 2025 am 12:25 AM

PHPタイプは、コードの品質と読みやすさを向上させるためのプロンプトがあります。 1)スカラータイプのヒント:php7.0であるため、基本データ型は、int、floatなどの関数パラメーターで指定できます。 3)ユニオンタイプのプロンプト:PHP8.0であるため、関数パラメーターまたは戻り値で複数のタイプを指定することができます。 4)Nullable Typeプロンプト:null値を含めることができ、null値を返す可能性のある機能を処理できます。

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前ByDDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
2週間前ByDDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前ByDDD
R.E.P.O.で節約説明した(そしてファイルを保存)
1 か月前By尊渡假赌尊渡假赌尊渡假赌
アサシンクリードシャドウ - 鍛冶屋を見つけて武器と鎧のカスタマイズを解除する方法
4週間前ByDDD
もっと見る

ホットツール

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強力な PHP 統合開発環境

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

mPDF

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

EditPlus 中国語クラック版

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7563
15
CakePHP チュートリアル
1385
52
Steamのアカウント名の形式は何ですか
84
11
Win11 Activation Key Permanent
61
19
NYTの接続はヒントと回答です
28
99
もっと見る