PHP は学習しやすい言語であり、プログラミングの経験がない多くの人が、Web サイトにインタラクティブな要素を追加する方法として PHP を学習します。これは、多くの場合、PHP プログラマー、特に Web 開発に慣れていないプログラマーには適さないことを意味します。 Web サイトの潜在的なセキュリティ リスクを認識している。ここでは、より一般的なセキュリティ問題とその回避方法をいくつか紹介します。
常にユーザーを信頼してください
何度言っても足りませんが、常に、常に、ユーザーが期待するデータを送信してくれることを信頼する必要があります。 「ああ、悪意のある人は私のウェブサイトに興味を持たないでしょう。」それは間違いです。セキュリティ ホールを悪用できる悪意のあるユーザーは常に存在し、ユーザーが誤って何か間違ったことをしたために問題は簡単に発見される可能性があります。
したがって、すべての Web ページの開発における教訓は、これ以上圧縮することはできません: 常に、常に、ユーザーを信頼することです。 Web サイトがユーザーから収集するすべてのデータに悪意のあるコードが含まれていると仮定すると、常に、JavaScript などでこのデータのクライアント側検証をチェックしたと考えられます。この目標を達成できれば、次に進むべきです。良いスタートです。 PHP のセキュリティが重要である場合、これを学ぶことが重要です。個人的には、「PHP のセキュリティ」は大きな問題です。
グローバル変数
多くの言語では、変数を使用するには変数を明示的に設定する必要があります。 PHP には、php.ini に設定できるオプション「, register_globals」があり、これを使用すると、グローバル変数を事前に宣言することなく使用できます。
次のコードを考えてみましょう:
if ($password == "my_password") {$authorized = 1;}if ($authorized == 1) {echo "Lots of important stuff.";} |
多くの人はこれに問題はないと考えているようですが、実際には、このコードは Web サイト全体で使用されています。 register_globals」。 URL に「?authorized=1」を追加するだけで、誰でも閲覧できるようになります。これは、最も一般的な PHP セキュリティ問題の 1 つです。
幸いなことに、これには 2 つの簡単な解決策があります。1 つ目は、おそらく最良の方法で、「register_globals」をオフにすることです。上の例では、自分だけが変数を使用することを明確にする必要があります。これは、スクリプトの先頭に「?authorized=0」を追加することを意味します。
$authorized = 0;<br>if ($password == "my_password") {<br>$authorized = 1;<br>} if ($authorized == 1) {<br>echo "Lots of important stuff.";<br>} |
エラー メッセージは、プログラマにとって非常に便利なツールです。開発者は、エラーを修正するためにこれらを使用して、サーバーのディレクトリ構造からデータベースのログイン情報に至るまで、あらゆる種類の情報を見つけることができます。可能であれば、すべてのエラー報告を無効にするのが最善です。 PHP ではこれを行うことができます。 htaccess または php.ini を使用するには、「error_reporting」値を「0」に設定します。開発環境がある場合は、さまざまなエラー報告レベルを設定できます。
1
http://www.bkjia.com/PHPjc/446661.html
www.bkjia.com