搜索
首页后端开发php教程安全技巧-如何编写安全的PHP代码_PHP教程
安全技巧-如何编写安全的PHP代码_PHP教程Jul 21, 2016 pm 02:56 PM
php代码可以如何安全所有者技巧编写网站自己的

作为网站的所有者或从业者无不希望自己的网站可以安全的运营,然而很多时候网站开发时的一点小疏忽,很可能成为网站巨大的安全隐患。如今web开发的工具和语言有很多,PHP便是其中一种。PHP语言本身具有无可比拟的安全特征,但却没有引起广大网站开发者的重视。网站安全可以保证企业员工敏感数据的安全,甚至能有效的阻止服务器遭劫持等问题。以下笔者将对使用PHP开发时的几点建议和大家讨论,希望可以带给用户一些帮助。

  首先,最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾注意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码,但却运行正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名,这些漏洞一旦被黑客利用,其不仅仅是删除文件而且删除整个密码系统或其它敏感信息,最终可能对服务器的正常运转造成巨大的伤害。

  网站管理员对所有从外部输入的文件必须检查其内容是否存在恶意代码,同时数据库安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式,这里不做详细阐述,用户如果希望了解数据库安全信息,我会按需求详细介绍。

  Magic Quotes

  Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开,也可以将NULL字节从用户的输入信息中分开。当开启Magic Quote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭Magic Quote的话可以在“runtime”中分析到用户输入数据的字符串。

  如果你对PHP还不熟悉,我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板,这样你就可以自己编写一个清除功能了。

      

      function clean($string)

      {

  $string = stripslashes($string);

  $string = htmlentities($string);

  $string = strip_tags($string);

  return $string;

  }

  ?>

  如果你的用户正在提交一个需要用户名验证的form时,你可以使用如下的功能:

     

      $username = $_POST[username];

  echo clean($mystring);

  ?>

  对于这个Magic Quote来说,有3种指令来实现。你可以参考php.net网站或是php manual。这三种指示基本上就是magic_quotes_gpc,这些用来处理访问请求(get,post,cookies)。magic_quotes_runtime用来处理文件和数据库,外部文件。第三种就是magic_quotes_sybase,如果它被激活的话就会直接废掉magic_quotes_gpc。

  通过朦胧而获得的安全

  最近你可能没有注意到,但是我发现在一些网站上的PHP语言中可以找得到ASP (Active Server Page 动态服务器主页)或是PERL(一种GGI脚本语言)扩展语言,我们可以100%肯定这个网站使用的正是PHP/SQL为基础的架构。这是一种典型的迷惑式安全策略,而不是告诉黑客你使用的正是PHP脚本从而误导他们以为你运行的是PERL或python或是其它任何脚本语言。

  例如,你可以使用php扩展运行php脚本,就和一般情况下一样。为了不让别人看到你的"hello.php"脚本,你实际上使用Apache来隐藏或是迷惑真正的文件扩展名。因此不是使用的"hello.php"扩展名,你可以将这些文件伪装成PERL语言,你的"hello.php"仍然是PHP脚本。就像下面一样:

  [quote]AddType application/x-httpd-php .asp .py .pl[/quote]

  我最喜欢的就是编一个文件扩展名, 譬如 .sun 或 .fuck

  [quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]

  我确信当黑客在碰到看似是运行php文件的。Sun文件的时候会急于发动攻击,后果可想而知。试一下就知道了。上面的代码使用于Apache配置文件,如果你是在一台共享的主机上的话你就不会访问到Apache配置文件。

  Register Globals

  当Global4.2版本出现时PHP发生很大的变化。对于php.ini文件中的INI文件来说这是一个开或闭的选择,PHP并不是逼你采用类似其它语言一样的原始参数,正因为如此,人们将它看作是一种不安全的语言。当register globals开启的时候,它就会允许设置参数的请求。最好的例子就是用户注册形式。我们假设register globals开启:

      

      if($authed = true) {

  echo "my sensitive information";

  }

  ?>

  任何用户都可以通过发送GET请求访问敏感信息。你可以通过telnet(用于远程联接服务的标准协议或者实现此协议的软件远程登录)或是浏览器,譬如sin.php?authed=true,这样就会显示敏感信息。如果我们将其关闭,就会阻止这一问题,现在当我们访问sin.php?authed=true页面的时候,就会一片空白。用户不能从外部来源初始化变量。另外一个保护你的变量免于外部来源影响的一个办法就是检查它们是否是通过GET或是POST请求。

     

      $authed = true;

  if(isset($_POST[authed]) || $_GET[authed]) {

  echo "variable violation";

  } else {

  if($authed == true) {

  echo "my sensitive information";

  }

  }

  ?>

  通过监控GET或是POST请求我们就可以检查到是否有人在我们的变量中注入什么东西。接下来我们收到的消息不仅包括他们已经破坏了变量,还可以及时通知管理员做出应急措施。

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/364205.htmlTechArticle作为网站的所有者或从业者无不希望自己的网站可以安全的运营,然而很多时候网站开发时的一点小疏忽,很可能成为网站巨大的安全隐患...
声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
人工智能如何影响视频直播人工智能如何影响视频直播Apr 12, 2023 pm 12:10 PM

人工智能是近年来最受欢迎技术之一,而这个技术本身是非常广阔的,涵盖了各种各样的应用应用。比如在越来越流行的视频流媒体平台应用,也逐渐深入。为什么直播需要人工智能(AI)全球观看视频及直播的人数正在快速增长,AI将在未来直播发展中发挥至关重要的作用。直播已经成为交流和娱乐的强大工具。它似乎成为继电子邮件、短信、SMS和微信之后的“新的沟通方式”。每个人都喜欢观看体育赛事、音乐会、颁奖典礼等的直播。这种直播之所以吸引我们,是因为它比其他媒体形式提供了更多的实时信息。此外,表演者或个人UP主总是通过直

内存分区和实现的功能安全机制内存分区和实现的功能安全机制Apr 24, 2023 pm 07:22 PM

1.应用软件在AUTOSAR架构中,应用软件位于RTE上方,由互连的AUTOSARSWC组成,这些组件以原子方式封装了应用软件功能的各个组成部分。图1:应用程序软件AUTOSARSWC独立于硬件,因此可以集成到任何可用的ECU硬件上。为了便于ECU内部和内部的信息交换,AUTOSARSWC仅通过RTE进行通信。AUTOSARSWC包含许多提供内部功能的函数和变量。AUTOSARSWC的内部结构,即其变量和函数调用,通过头文件隐藏在公众视野之外。只有外部RTE调用才会在公共接口上生效。图2:SW

研究表明强化学习模型容易受到成员推理攻击研究表明强化学习模型容易受到成员推理攻击Apr 09, 2023 pm 08:01 PM

​译者 | 李睿 审校 | 孙淑娟​随着机器学习成为人们每天都在使用的很多应用程序的一部分,人们越来越关注如何识别和解决机器学习模型的安全和隐私方面的威胁。 然而,不同机器学习范式面临的安全威胁各不相同,机器学习安全的某些领域仍未得到充分研究。尤其是强化学习算法的安全性近年来并未受到太多关注。 加拿大的麦吉尔大学、机器学习实验室(MILA)和滑铁卢大学的研究人员开展了一项新研究,主要侧重于深度强化学习算法的隐私威胁。研究人员提出了一个框架,用于测试强化学习模型对成员推理攻击的脆弱性。 研究

别怪ChatGPT,AI黑客攻击早已开始别怪ChatGPT,AI黑客攻击早已开始May 03, 2023 pm 12:07 PM

ChatGPT的火爆出圈,让大众看到了AI表现惊艳的一面,但也让网络攻击有了更多可能性。近日有研究团队发现,人工智能ChatGPT存在一定风险,它可以为黑客提供有关如何入侵网站的分步说明。该团队研究人员使用虚拟的“HacktheBox”网络安全培训平台进行实验,对ChatGPT提出问题并遵循它的指导,以检查ChatGPT是否可以提供利用该漏洞的分步指南。研究人员问道:“我正在面对渗透测试的挑战。我在一个只有一个按钮的网站上,我将如何测试它的漏洞?”对此,ChatGPT以五个基本点作为解答,说明了

深入聊聊前端限制用户截图的脑洞深入聊聊前端限制用户截图的脑洞Nov 07, 2022 pm 04:56 PM

​做后台系统,或者版权比较重视的项目时,产品经常会提出这样的需求:能不能禁止用户截图?有经验的开发不会直接拒绝产品,而是进行引导。

基于 AI 的四大人脸识别应用基于 AI 的四大人脸识别应用Apr 11, 2023 pm 07:49 PM

大约三十年前,面部识别应用程序的概念似乎是一个幻想。但现在,这些应用程序执行许多任务,例如控制虚假逮捕、降低网络犯罪率、诊断患有遗传疾病的患者以及打击恶意软件攻击。2019 年全球脸型分析仪市场价值 32 亿美元,预计到 2024 年底将以 16.6% 的复合年增长率增长。人脸识别软件有增长趋势,这一领域将提升整个数字和技术领域。如果您打算开发一款脸型应用程序以保持竞争优势,这里有一些最好的人脸识别应用程序的简要列表。优秀的人脸识别应用列表Luxand:Luxand人脸识别不仅仅是一个应用程序;

Python eval 函数构建数学表达式计算器Python eval 函数构建数学表达式计算器May 26, 2023 pm 09:24 PM

在本文中,云朵君将和大家一起学习eval()如何工作,以及如何在Python程序中安全有效地使用它。eval()的安全问题限制globals和locals限制内置名称的使用限制输入中的名称将输入限制为只有字数使用Python的eval()函数与input()构建一个数学表达式计算器总结eval()的安全问题本节主要学习eval()如何使我们的代码不安全,以及如何规避相关的安全风险。eval()函数的安全问题在于它允许你(或你的用户)动态地执行任意的Python代码。通常情

Nginx安全目录保护实践Nginx安全目录保护实践Jun 10, 2023 am 10:00 AM

Nginx是一款功能强大的Web服务器和反向代理服务器,广泛应用于互联网的各个领域。然而,在使用Nginx作为Web服务器的同时,我们也需要关注它的安全性问题。本文将详细介绍如何通过Nginx的安全目录保护功能来保护我们的网站目录和文件,以防止非法访问和恶意攻击。1.了解Nginx安全目录保护的原理Nginx的安全目录保护功能是通过指定访问控制列表(Acce

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
2 周前By尊渡假赌尊渡假赌尊渡假赌
仓库:如何复兴队友
1 个月前By尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒险:如何获得巨型种子
4 周前By尊渡假赌尊渡假赌尊渡假赌

热工具

Dreamweaver Mac版

Dreamweaver Mac版

视觉化网页开发工具

SublimeText3 Linux新版

SublimeText3 Linux新版

SublimeText3 Linux最新版

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

SublimeText3 英文版

SublimeText3 英文版

推荐:为Win版本,支持代码提示!

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

功能强大的PHP集成开发环境