PHP プロジェクト コードのセキュリティ概要_PHP チュートリアル

PHP を使用してプロジェクトを開発する場合、現時点では、多くのセキュリティが隠されている可能性があります。以下に学生向けにまとめた、いくつかの PHP プロジェクト コードのセキュリティの概要を示します。さらに参照できます。

1: 基本タイプ
include $module.'.php'; $module が GET を使用して直接取得された場合、これは非常に致命的なバグであり、Linux では悲惨な結果をもたらし、Windows ではこの種のセキュリティは直接無視されます。これを効果的に防止できなければ、資格のあるプログラマーと呼べるでしょうか?

2: 品質の安全性。
多くの人は、addlashes 関数が効率的で安全であるかどうかは気にしないと言うでしょう。addlashes を使用する前に、index.php?aa[] の安全性にも注意を払う必要があります。 =222&、これは URL です、addlashes ($aa); この関数を使用すると、データ型が異なる場合に何が起こるかを知る必要があることがわかります。関数がパラメータ >0 の数値型を渡すように登録されているということですが、ユーザーが文字を渡した場合はどうすればよいでしょうか? 私の意見では、これはカスタム関数ですが、ユーザーが渡したエラーです。理由も分からずにパラメータを変更するこの態度は非常に危険です。

3: 圧力安全
最近、163 のニュースを時々見ると、ブラウザが突然クラッシュしたり、フリーズしたり、「終了」したりすることがあります。この理由は、Web ページのプログラム コードに問題があるか、Web ページに問題がある可能性があります。フロントエンド js、特に js は、ループや代入の使用に関して比較的柔軟な特性があるため、最も顕著な点は値の取得とエラー処理です。 getelementbyid('mydiv'); このとき、mydiv が 2 回変更されているかどうか考えたことはありますか? もう 1 つのポイントは、画像 を表示するために onerror を使用することです。デフォルトの画像が表示されなくなったらどうなるか考えたことはありますか?

4: PHP パフォーマンスの安全性。
Apache がクラッシュする原因となる無限ループに遭遇したことがないとは誰も言えません。ループによってどのようなプレッシャーが生じるのでしょうか。コードを見てください。
foreach($array AS $val){
$payarr = include('pay.inc.php');
If($payarr[0] >= 360 * 1.25 + 568){
$err[] = $payarr[0];
}
}
このコードは、インクルードが成功したかどうかに関係なく、正常に実行できるかどうかを判断する必要はありません。いくつかの行を追加する必要があります。ファイルを導入する前に、まず is_file を使用してファイルが存在するかどうかを確認する必要があります。条件値は数値演算です。直接値を書いた方が良いでしょうか? 判断する前に、まず $payarr 配列値が存在するかどうかを判断する必要がありますか?

5: あなたはプログラムを書いていますか、それとも判決を書いていますか。

上記のパフォーマンスの安全性には多くの判断が欠けています。PHP には、不必要な判断がパフォーマンスに影響を与えるかどうかを示すドキュメントがありますか? コードを参照してください。 If(is_resource($a) === false || is_array($a) === false || is_bool($a) === false)
エコー $a;
変数を使用するたびにこのように判断するとどうなるでしょうか? コードは正しく、echo は文字列型のみを出力します。これは厳密なセキュリティに近いかもしれません。 PHP はこれを省略できる このようにパフォーマンス上のプレッシャーが少ないため、このように書くことは必ずしも悪いことではありません。少なくとも要件を満たしており、セキュリティが向上します。もちろん、このように書くと、私はプログラムを書いているのかと疑問に思うでしょう。判決文を書く?

6: ブロックエラー

多くの人が PHP を学習していたときに、先生が言ったセキュリティに関する言葉が心に残りました。それは、エラー メッセージをブロックするというものでした。個人的には、エラーをブロックするための前提条件が必要だと思います。つまり、表示をブロックすることができます。ある日、Web ページが空白になったので、プログラマにエラーをブロックするように頼んだのですが、これは妥当だと思いますか?私はあなた自身をブロックするようにとは言いませんでした。たとえあなた自身がエラーの場所を知らなかったとしても、一般のユーザーはそれを知ることができるのでしょうか? php.ini シールドや @ 記号を使用するときは、それを知る必要があることを忘れないでください。エラーが発生する場所。

7: インターフェースのセキュリティ
インターフェイスセキュリティは、持っているかどうかに関係なく、誰もが持っていると思いますが、私はとにかく持っています。通常の方法は、URLをリクエストし、PHPがクライアントに値を出力し、クライアントが判断処理または表示処理を行うことです。事実 このように、一般の PHP スタッフは Firebug を通じて URL を簡単に取得でき、製品レビューや製品価格などの潜在的な危険性を知ることができます。インターフェイスはトークンのレイヤーで構築され、最初にトークンを取得し、次にパラメーターを渡します。次のステップでは、ユーザーが正常であるかどうか、IP アドレス、およびリクエスト時間を計算できます。トークン値は暗号化されていると判断できます。はい、ユーザーはそれを使用したり保持したりできません。トークンは単なる文字列であり、リクエストしたインターフェースを常に保持できます。リクエストタイムをご利用ください

8: 安全を示します。
実際、表示セキュリティの問題を完全に理解していません。たとえば、送信後、mysql を入力する前に、データは addslashes ですか、それとも htmlspecialchars ですか?フロントエンド表示を使用すると、XSS が挿入される可能性があります。htmlspecialchars を使用する場合、HTML コードをフォアグラウンドで表示する方法はありますか? Web サイト内の変数について、攻撃を防ぐ方法を 1 つずつ考えていますか?

9: とても安全です。
信じるか信じないかに関係なく、sohpex はバージョン php5.3 以降では使用できなくなるようです。広報セキュリティがあまりにも信頼できないことがわかりました。しかし、それはプログラマーに引き継がれます。ビジネスモデルはこのようには機能しません

。

http://www.bkjia.com/PHPjc/629660.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/629660.html技術記事 PHP でプロジェクトを開発する場合、現時点では多くのセキュリティが隠されている可能性があります。必要に応じて、いくつかの PHP プロジェクト コードのセキュリティの概要をまとめます。