セキュリティのヒント - 安全な PHP コードの書き方_PHP チュートリアル

Web サイトの所有者または実務者として、私たちは Web サイトが安全に運営されることを望んでいますが、多くの場合、Web サイト開発中の小さな見落としが Web サイトにとって大きなセキュリティ リスクになる可能性があります。現在、Web 開発用のツールや言語は数多くありますが、PHP もその 1 つです。 PHP 言語自体には比類のないセキュリティ機能がありますが、大多数の Web サイト開発者の注目を集めていません。 Web サイトのセキュリティは、企業従業員の機密データのセキュリティを確保し、サーバー ハイジャックやその他の問題を効果的に防止することもできます。次の著者は、ユーザーに役立つことを期待して、PHP 開発を使用する際のいくつかの提案について説明します。

まず、最も重要なことは、さまざまな変数とユーザー入力データを明確にすることです。あなたが気づいていない多くの変数自体が、マルウェア プログラムが感染を広げる優れた手段となる可能性があります。 Web サイトにはあまり安全ではないコードがいくつかあると考えられますが、問題なく動作します。攻撃者がこれらの脆弱性を発見すると、Web サイト上で無制限に破壊的な活動を実行する可能性があります。これらの目立たない変数名を過小評価しないでください。これらの脆弱性がハッカーによって悪用されると、ファイルが削除されるだけでなく、パスワード システム全体やその他の機密情報も削除され、最終的にはサーバーの通常の動作に多大な損害を与える可能性があります。

ウェブサイト管理者は、外部からインポートされたすべてのファイルに悪意のあるコードが存在していないかチェックする必要があり、データベースのセキュリティも重要です。データベースのセキュリティには必然的に SQL インジェクションやその他の攻撃手法が多く含まれますが、ここでは詳しく説明しません。ユーザーがデータベースのセキュリティ情報を知りたい場合は、必要に応じて詳しく紹介します。

魔法の名言

Magic Quotesは、ユーザーファイル入力を処理するときに非常に便利です。このオプションが有効になっている場合 (php.ini ファイル内にあります)、ユーザー入力からすべての一重引用符と二重引用符、および NULL バイトが分離されます。 Magic Quote を有効にするときの質問の 1 つは、ユーザーに引用フィルタリングを実行させたいかどうかです。 Magic Quote をオフにすると、「ランタイム」でユーザー入力データの文字列を解析できます。

PHP に慣れていない場合は、ユーザーが入力したデータを分析して表現する方法を学ぶまで、この機能をオンにすることをお勧めします。個人的には、私が書いた「clear」関数を使用することをお勧めします。独自のクリーンアップ関数を作成できるように、テンプレートを提供します。

関数 clean($string)

$string = ストリップスラッシュ($string);

$string = htmlentities($string);

$string =strip_tags($string);

$string を返す;

}

?>

ユーザーがユーザー名の検証を必要とするフォームを送信している場合は、次の関数を使用できます:

$ユーザー名 = $_POST[ユーザー名];

エコークリーン($mystring);

?>

この Magic Quote では、実装するための命令が 3 つあります。 php.net Web サイトまたは php マニュアルを参照してください。これら 3 つの命令は基本的に magic_quotes_gpc であり、アクセス要求 (get、post、cookie) を処理するために使用されます。 magic_quotes_runtime は、ファイル、データベース、外部ファイルの処理に使用されます。 3 番目のタイプは、magic_quotes_sybase です。これがアクティブ化されると、magic_quotes_gpc は直接破棄されます。

曖昧さによる安全性

最近気づいていないかもしれませんが、いくつかの Web サイトで PHP 言語の ASP (Active Server Page 動的サーバー ホームページ) または PERL (GGI スクリプト言語) 拡張言語を見つけることができることがわかりました。これは 100% 確信できます。この Web サイトは PHP/SQL ベースのアーキテクチャを使用しています。これは典型的な難読化セキュリティ戦略であり、PHP スクリプトを使用していることをハッカーに伝えて、PERL、Python、またはその他のスクリプト言語を実行していると誤解させるのではありません。

たとえば、php 拡張機能を使用して、通常と同じように php スクリプトを実行できます。他の人に「hello.php」スクリプトを見られないようにするために、実際には Apache を使用して、実際のファイル拡張子を非表示または難読化しています。したがって、「hello.php」拡張子を使用する代わりに、これらのファイルを PERL として偽装しても、「hello.php」は PHP スクリプトのままになります。以下のように:

[quote]AddType application/x-httpd-php .asp .py .pl[/quote]

私のお気に入りは、.sun や .fuck などのファイル拡張子を作成することです

[quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]

ハッカーが php を実行していると思われるファイルを見つけたときは間違いありません。 Sun ファイルは積極的に攻撃を開始するため、その結果は想像できます。試してみればわかります。上記のコードでは Apache 構成ファイルを使用しています。共有ホスト上にいる場合は、Apache 構成ファイルにアクセスできません。

グローバルを登録する

Global4.2バージョンの登場でPHPは大きく変わりました。これは、php.ini ファイルの INI ファイルのオンまたはオフのオプションです。このため、PHP は安全でない言語とみなされます。グローバル登録が有効な場合、リクエストでパラメータを設定できるようになります。その最たる例がユーザー登録フォームです。グローバル登録がオンになっていると仮定します:

if($authed = true) {

「私の機密情報」をエコー;

}

?>

どのユーザーも GET リクエストを送信することで機密情報にアクセスできます。 Telnet (リモート接続サービスの標準プロトコル、またはこのプロトコルを実装するソフトウェア) またはブラウザ (sin.php?authed=true など) を介してリモートでログインでき、機密情報が表示されます。これをオフにすると、この問題は回避され、sin.php?authed=true ページにアクセスすると、空白になります。ユーザーは外部ソースから変数を初期化できません。変数を外部ソースから保護するもう 1 つの方法は、変数が GET リクエストまたは POST リクエストを介して送信されたかどうかを確認することです。

GET リクエストまたは POST リクエストを監視することで、誰かが変数に何かを挿入したかどうかを確認できます。次に受け取るメッセージには、変数が破棄されたことが含まれるだけでなく、緊急措置を講じるために時間内に管理者に通知することもできます。

http://www.bkjia.com/PHPjc/364205.htmlwww.bkjia.com本当http://www.bkjia.com/PHPjc/364205.html技術記事 Web サイトの所有者または実務者として、私たちは Web サイトが安全に運営されることを願っていますが、多くの場合、Web サイト開発中の小さな見落としが Web サイトにとって大きなセキュリティ リスクになる可能性があります...

。

$authed = true

if(isset($_POST[認証]) || $_GET[認証]) {

echo "変数違反";

} 他 {

if($authed == true) {

「私の機密情報」をエコー;

}

}

?>