用Suhosin加强PHP脚本语言安全性_PHP-php教程-PHP中文网

首页

后端开发

php教程

用Suhosin加强PHP脚本语言安全性_PHP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 12:25 PM

php使用加强可以安全安全性脚本语言

　　PHP是一种非常流行的网站脚本语言，但是它本身所固有的安全性是非常薄弱。本文讲述了PHP增强计划(Hardened-PHP project)和新的Suhosi计划，Suhosin提供了增强的PHP的安全配置。

　　PHP是带有争论地但又是最流行的一种网站脚本语言。它之所以流行，是因为它低廉的价格，然而，这低廉的价格导致用 PHP写的网站应用程序越来越多的同时也越来越多的展现出PHP本身在安全上的脆弱，这种安全特性显示出PHP是极不可靠，不过同时对这个脚本语言本身而言它又是非常灵活的，使用它就能很容易的实现代码，不过这些代码都是臃肿的且不安全的，虽然是这样它还是一直都拥有很多的使用者。你可以根据实际情况来假设，一次又一次，各种应用软件都体现了这种脆弱性：容易受到SQL注入、跨站脚本、任意执行指令等等的攻击。

　　因为象safe_mode和open_basedir这样内置的PHP安全措施将被忽略，PHP增强计划创建的PHP更具有安全性，同时也对PHP进行校验检查。最初，这些是由增强的PHP补丁完成的，这些补丁需要修补并重新编译PHP自身。最近，PHP增强计划发布了一个名为Suhosin的新工程。

　　Sohosin包括有两部分：第一部分是PHP的补丁，这个补丁强化了Zend引擎自身，以免可能产生缓冲溢出，也可以防止相关的弱点。第二部分是Suhosin的扩展，这是一个PHP的独立使用模块。这两部分可以一起工作，或者是扩展部分单独工作。

　　开发人员不希望为了达到安全性而总去维护他们自己的PHP安装设置和他们当然更喜欢直接使用销售商提供的Linux分布系统上PHP，使用扩展模块能提供更多PHP本身所不能具有的安全特点。

　　扩展模块很容易安装；它也能通过PECL安装，或者是下载后通过编译安装：

　　$ tar xvzf suhosin-0.9.17

　　$ cd suhosin-0.9.17

　　$ phpize

　　$ ./configure

　　$ make

　　$ sudo make install

　　为了使用suhosin，还需要增加/etc/php.ini，如下所示：

　　extension=suhosin.so

　　对于大部分人来说默认的配置选项已经足够了。为了加强设置，可以在/etc/php.ini中增加相应的值。网站中详细地介绍了有关的各种配置选项，这些说明可以帮助你进行初始化配置。

　　使用Suhosin，你可以得到一些错误日志，你能把这些日志放到系统日志中，也可以同时写到其他任意的日志文件中去；它还可以为每一个虚拟主机创建黑名单和白名单；可以过滤GET和POST请求、文件上载和cookie。你还能传送加密的会话和cookie，可以设置不能传送的存储上线等等。它不像原始的PHP强化补丁，Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

高流量网站的PHP性能调整May 14, 2025 am 12:13 AM

TheSecretTokeEpingAphp-PowerEdwebSiterUnningSmoothlyShyunderHeavyLoadInVolvOLVOLVOLDEVERSALKEYSTRATICES：1）emplactopCodeCachingWithOpcachingWithOpCacheToreCescriptexecution Time，2）使用atabasequercachingCachingCachingWithRedataBasEndataBaseLeSendataBaseLoad，3）

PHP中的依赖注入：初学者的代码示例May 14, 2025 am 12:08 AM

你应该关心DependencyInjection(DI)，因为它能让你的代码更清晰、更易维护。1)DI通过解耦类，使其更模块化，2)提高了测试的便捷性和代码的灵活性，3)使用DI容器可以管理复杂的依赖关系，但要注意性能影响和循环依赖问题，4)最佳实践是依赖于抽象接口，实现松散耦合。

PHP性能：是否可以优化应用程序？May 14, 2025 am 12:04 AM

是的，优化papplicationispossibleandessential.1）empartcachingingcachingusedapcutorediucedsatabaseload.2）优化的atabaseswithexing，高效Quereteries，and ConconnectionPooling.3）EnhanceCodeWithBuilt-unctions，避免使用，避免使用ingglobalalairaiables，并避免使用

PHP性能优化：最终指南May 14, 2025 am 12:02 AM

theKeyStrategiestosiminificallyBoostphpapplicationPermenCeare：1）useOpCodeCachingLikeLikeLikeLikeLikeCacheToreDuceExecutiontime，2）优化AtabaseInteractionswithPreparedStateTemtStatementStatementSandProperIndexing，3）配置

PHP依赖注入容器：快速启动May 13, 2025 am 12:11 AM

aphpdepentioncontiveContainerIsatoolThatManagesClassDeptions，增强codemodocultion，可验证性和Maintainability.itactsasaceCentralHubForeatingingIndections，因此reducingTightCightTightCoupOulplingIndeSingantInting。

PHP中的依赖注入与服务定位器May 13, 2025 am 12:10 AM

选择DependencyInjection(DI)用于大型应用，ServiceLocator适合小型项目或原型。1)DI通过构造函数注入依赖，提高代码的测试性和模块化。2)ServiceLocator通过中心注册获取服务，方便但可能导致代码耦合度增加。

PHP性能优化策略。May 13, 2025 am 12:06 AM

phpapplicationscanbeoptimizedForsPeedAndeffificeby：1）启用cacheInphp.ini，2）使用preparedStatatementSwithPdoforDatabasequesies，3）3）替换loopswitharray_filtaray_filteraray_maparray_mapfordataprocrocessing，4）conformentnginxasaseproxy，5）