關於PHP安全程式設計的一些建議-php教程-PHP中文網

首頁

後端開發

php教程

關於PHP安全程式設計的一些建議

王林

Aug 20, 2019 am 10:27 AM

程式設計安全

簡介

要提供網路服務，在開發程式碼的時候必須隨時保持安全意識。可能大部分 PHP 腳本都對安全問題不在意，這很大程度是因為有大量的無經驗程式設計師在使用這門語言。但是，沒有理由讓你因為對你的程式碼的不確定性而導致不一致的安全性策略。當你在伺服器上放任何涉及到錢的東西時，就有可能會有人嘗試破解它。創建一個論壇程式或任何形式的購物車，被攻擊的可能性就上升到了無窮大。

推薦PHP影片教學：https://www.php.cn/course/list/29/type/2.html

背景

為了確保你的web 內容安全，這裡有一些常規的安全準則：

1、別相信表單

##攻擊表單很簡單。透過使用一個簡單的 JavaScript 技巧，你可以限制你的表單只允許在評分域中填寫 1 到 5 的數字。如果有人關閉了他們瀏覽器的 JavaScript 功能或提交自訂的表單數據，你客戶端的驗證就失敗了。

使用者主要透過表單參數和你的腳本交互，因此他們是最大的安全風險。你該學到什麼呢？在 PHP 腳本中，總是要驗證傳遞給任何 PHP 腳本的資料。在本文中，我們向你們示範如何分析和防範跨站腳本（XSS）攻擊，它可能會劫持使用者憑證（甚至更嚴重）。你也會看到如何防止會玷污或破壞你資料的 MySQL 注入攻擊。

2、別相信使用者

假定你網站取得的每一份資料都充滿了有害的程式碼。清理每一部分，即便你相信沒有人會嘗試攻擊你的網站。

3、關閉全域變數

你可能會有的最大安全漏洞是啟用了

register_globals 設定參數。幸運的是，PHP 4.2 及以後版本預設關閉了這個配置。如果打開了 register_globals，你可以在你的php.ini 檔案中透過改變register_globals 變數為Off 關閉該功能：

register_globals = Off

新手程式設計師覺得註冊全域變數很方便，但他們不會意識到這個設定有多危險。一個啟用了全域變數的伺服器會自動為全域變數賦任何形式的參數。為了了解它如何運作以及為什麼有危險，讓我們來看一個例子。

假設你有一個稱為

process.php 的腳本，它會在你的資料庫中插入表單資料。初始的表單像下面這樣：

<input name="username" type="text" size="15" maxlength="64">

運行

process.php 的時候，啟用了註冊全域變數的 PHP 會將該參數賦值到 $username 變數。這會比透過$_POST['username'] 或 $_GET['username'] 存取它來節省擊鍵次數。不幸的是，這也會給你留下安全性問題，因為PHP 會設定該變數的值為透過GET 或POST 的參數發送到腳本的任何值，如果你沒有顯示地初始化該變數並且你不希望任何人去操作它，這會有一個大問題。

看下面的腳本，假如

$authorized 變數的值為 true，它會給使用者顯示通過驗證的資料。正常情況下，只有當使用者正確通過了這個假想的 authenticated_user() 函數驗證，$authorized 變數的值才會被設定為真。但如果你啟用了 register_globals，任何人都可以傳送一個 GET 參數，例如 authorized=1 去覆寫它：

<?php
// Define $authorized = true only if user is authenticated
if (authenticated_user()) {
    $authorized = true;
}
?>

这个故事的寓意是，你应该从预定义的服务器变量中获取表单数据。所有通过 post 表单传递到你 web 页面的数据都会自动保存到一个称为 $_POST 的大数组中，所有的 GET 数据都保存在 $_GET 大数组中。文件上传信息保存在一个称为 $_FILES 的特殊数据中。另外，还有一个称为 $_REQUEST 的复合变量。

要从一个 POST 方法表单中访问username字段，可以使用 $_POST['username']。如果 username 在 URL 中就使用$_GET['username']。如果你不确定值来自哪里，用 $_REQUEST['username']。

<?php
$post_value = $_POST[&#39;post_value&#39;];
$get_value = $_GET[&#39;get_value&#39;];
$some_variable = $_REQUEST[&#39;some_value&#39;]; 
?>

$_REQUEST 是 $_GET、$_POST、和 $_COOKIE 数组的结合。如果你有两个或多个值有相同的参数名称，注意 PHP 会使用哪个。默认的顺序是 cookie、POST、然后是 GET。

以上就是为大家整理的一些编程安全建议。更过相关问题请访问PHP中文网：https://www.php.cn/

以上是關於PHP安全程式設計的一些建議的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：开发者头条。如有侵權，請聯絡admin@php.cn刪除

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP：許多網站的基礎Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用，適合初學者。 2)擁有龐大的開發者社區，資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成，簡化開發部署。

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。