PHP开发中保险防范知识-php教程-PHP中文网

首页

后端开发

php教程

PHP开发中保险防范知识

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 10:56 AM

htmlphpquot

PHP开发中安全防范知识
PHP代码安全和XSS，SQL注入等对于各类网站的安全非常中用，尤其是UGC(User Generated Content)网站，论坛和电子商务网站，常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说，php安全防范更多要求编程人员对用户输入的各种参数能更细心.

　　php编译过程中的安全

　　建议安装Suhosin补丁，必装安全补丁

　　php.ini安全设置

　　register_global = off

　　magic_quotes_gpc = off

　　display_error = off

　　log_error = on

　　# allow_url_fopen = off

　　expose_php = off

　　open_basedir =

　　safe_mode = on

　　disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var

　　safe_mode_include_dir =

　　DB SQL预处理

　　mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入，但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用 0xbf27来代替单引号，GBK编码中0xbf27不是一个合法字符，因此addslashes只是将0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集，否则依然可能有问题。

　　prepare + execute(PDO)

　　ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的，不会像mysql_real_escape_string只能用于mysql

　　用户输入的处理

　　无需保留HTML标签的可以用以下方法

　　strip_tags, 删除string中所有html标签

　　htmlspecialchars，只对””,”;”,”’”字符进行转义

　　htmlentities，对所有html进行转义

　　必须保留HTML标签情况下可以考虑以下工具：

　　HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.

　　PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code

　　htmLawed: PHP code to purify & filter HTML

　　上传文件

　　用is_uploaded_file和move_uploaded_file函数，使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。

　　ZF框架下可以考虑使用File_upload模块

　　Session，Cookie和Form的安全处理

　　不要依赖Cookie进行核心验证，重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

　　POST回来之后对参数进行验证

　　$str = "";

　　foreach($_POST['H'] as $key=>$value) {

　　$str .= $key.$value;

　　}

　　if($_POST['hash'] != md5($str.$secret)) {

　　echo "Hidden form data modified"; exit;

　　}

　　PHP安全检测工具(XSS和SQL Insertion)

　　Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)

　　安裝/使用方法:

　　apt-get install libtidy-0.99-0 python-ctypes python-utidylib

　　python wapiti.py http://Your Website URL/ -m GET_XSS

　　Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)

　　安裝: apt-get install default-jdk

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。