首頁  >  文章  >  後端開發  >  如何製作安全性高的php網站,製作網站需要注意的安全問題總結

如何製作安全性高的php網站,製作網站需要注意的安全問題總結

伊谢尔伦
伊谢尔伦原創
2017-06-29 11:15:521816瀏覽

大家都知道PHP已經是目前最流行的Web應用程式語言了。但也跟其他腳本語言一樣,PHP也有幾個很危險的安全漏洞。所以在這篇教學文章中,我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。

技巧1:使用合適的錯誤報告

一般在開發過程中,很多程式設計師總是忘了製作程式錯誤報告,這是極大的錯誤,因為恰當的錯誤報告不只是最好的調試工具,也是極佳的安全漏洞檢測工具,這能讓你把應用程式真正上線前盡可能找出你將會遇到的問題。
當然也有很多方式可以啟用錯誤回報。例如在php.in 設定檔你可以設定在運行時啟用

啟動錯誤報告
error_reporting(E_ALL);

停用錯誤回報
error_reporting(0);

技巧2:不使用PHP的Weak屬性

有幾個PHP的屬性是需要被設定為OFF的。一般它們都存在於PHP4裡面,而在PHP5是不建議使用的。尤其最後在PHP6裡面,這些屬性都被移除了。

註冊全域變數
當 register_globals 被設定為ON時,就相當於設定Environment,GET,POST,COOKIE或Server變數都定義為全域變數。此時你根本不需要去寫 $_POST[‘username']來取得表單變數'username',只需要'$username'就能取得此變數了。
那你一定在想既然設定 register_globals 為 ON 有這麼方便的好處,那為什麼不要用呢?因為如果你這樣做將會帶來很多安全性的問題,而且也可能與局部變數名稱相衝突。
例如先看看下面的程式碼:

if( !empty( $_POST[‘username'] ) && $_POST[‘username'] == ‘test123′ && !empty( $_POST[‘password'] ) && $_POST[‘password'] == “pass123″ )
{
$access = true;
}

如果運行期間, register_globals 被設定為ON,那麼用戶只需要傳輸access=1 在一句查詢字串中就能取得到PHP腳本運行的任何東西了。
在.htaccess中停用全域變數

php_flag register_globals 0

在php.ini中停用全域變數

register_globals = Off

停用類似magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 讓這些Magic Quotes
在.htaccess檔案中設定

php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0

在php.ini設定

magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

技巧3:驗證使用者輸入

##你當然也可以驗證使用者的輸入,首先必須知道你期望使用者輸入的資料類型。這樣就能在瀏覽器端做好防禦使用者惡意攻擊你的準備。

技巧4:避免使用者進行交叉網站腳本攻擊

在網路應用程式中,都是簡單地接受使用者輸入表單然後回饋結果。在接受使用者輸入時,如果允許HTML格式輸入將是非常危險的事情,因為這也允許了JavaScript以不可預測的方式侵入後直接執行。即使只要有一個這樣漏洞,cookie資料都可能被竊取而導致用戶的帳戶被竊取。

技巧5:預防SQL注入攻擊

PHP基本上沒有提供任何工具來保護你的資料庫,所以當你

連接資料庫時,你可以使用下面這個mysqli_real_escape_string 函數。

$username = mysqli_real_escape_string( $GET[‘username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = '”.$username.“‘”);

以上是如何製作安全性高的php網站,製作網站需要注意的安全問題總結的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn