PHP安全有幫助的一些函式
安全是程式設計非常重要的一個方面。在任何一種程式語言中,都提供了許多的函式或者模組來確保程式的安全性。在現代網站應用中,經常要獲取來自世界各地使用者的輸入,但是,我們都知道“永遠不能相信那些使用者輸入的資料”。所以在各種的Web開發語言中,都會提供保證使用者輸入資料安全的函式。今天,我們就來看看,在著名的開源語言PHP中有哪些有用的安全函式。
在PHP中,有些很有用的函式開源非常方便的防止你的網站遭受各種攻擊,例如SQL隱碼攻擊,XSS(CrossSiteScripting:跨站指令碼)攻擊等。一起看看PHP中常用的、可以確保專案安全的函式。注意,這並不是完整的列表,是我覺得對於你的i專案很有的一些函式。
1.mysql_real_escape_string()
這個函式在PHP中防止SQL隱碼攻擊時非常有用。這個函式會對一些例如單引號、雙引號、反斜槓等特殊字元新增一個反斜槓以確保在查詢這些資料之前,使用者提供的輸入是乾淨的。但要注意,你是在連線資料庫的前提下使用這個函式。
但是現在已經不推薦使用mysql_real_escape_string()了,所有新的應用應該使用像PDO一樣的函式庫執行資料庫操作,也就是說,我們可以使用現成的語句防止SQL隱碼攻擊。
2.addslashes()
這個函式的原理跟mysql_real_escape_string()相似。但是當在php.ini檔案中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函式。magic_quotes_gpc的預設值是on,對所有的GET、POST和COOKIE資料自動執行addslashes()。不要對已經被magic_quotes_gpc轉義過的字串使用addslashes(),因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函式來確定它是否開啟。
3.htmlentities()
這個函式對於過濾使用者輸入的資料非常有用。它會將一些特殊字元轉換為HTML實體。例如,使用者輸入<時,就會被該函式轉化為HTML實體<(<),輸入>就被轉為實體>.(HTML實體對照表:http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL隱碼攻擊。
4.htmlspecialchars()
在HTML中,一些特定字元有特殊的含義,如果要保持字元原來的含義,就應該轉換為HTML實體。這個函式會返回轉換後的字串,例如‘&’(ampersand)轉為’&‘(ps:請參照第三點中的實體對照表連結)
ps:此處原文有誤(見評論),在此非常感謝瑾瑜提出。現已更正,另外附上此函式常見的轉換字元:
Thetranslationsperformedare:
‘&’(ampersand)becomes‘&’
‘”‘(doublequote)becomes‘”’whenENT_NOQUOTESisnotset.
“‘”(singlequote)becomes‘`’(or`)onlywhenENT_QUOTESisset.
‘<’(lessthan)becomes‘<’
‘>’(greaterthan)becomes‘>’
5.strip_tags()
這個函式可以去除字串中所有的HTML,JavaScript和PHP標籤,當然你也可以通過設定該函式的第二個引數,讓一些特定的標籤出現。
6.md5()
從安全的角度來說,一些開發者在資料庫中儲存簡單的密碼的行為並不值得推薦。md5()函式可以產生給定字串的32個字元的md5雜湊,而且這個過程不可逆,即你不能從md5()的結果得到原始字串。現在這個函式並不被認為是安全的,因為開源的資料庫可以反向檢查一個雜湊值的明文。你可以在這裡找到一個MD5雜湊資料庫列表
7.sha1()
這個函式與md5()類似,但是它使用了不同的演算法來產生40個字元的SHA-1雜湊(md5產生的是32個字元的雜湊)。也不要把絕對安全寄託在這個函式上,否則會有意想不到的結果。
8.intval()
先別笑,我知道這個函式和安全沒什麼關係。
相關文章
- php的一些函式PHP函式
- 對PHP新手在安裝和連線資料庫上的一些幫助PHP資料庫
- PHP函式的一些冷知識PHP函式
- PHP 全域性使用 Laravel 輔助函式 ddPHPLaravel函式
- Laravel 輔助函式Laravel函式
- 一些幫助Web前端開發的Sublime Text包Web前端
- 初學 PHP 對於回撥函式的一些理解PHP函式
- 給python入門者的幫助,關於函式和裝飾器的理解。Python函式
- SQL的幫助SQL
- PHP的字串函式PHP字串函式
- php函式PHP函式
- PHP 函式PHP函式
- php 函式PHP函式
- 開發常用的輔助函式函式
- 一些有用的函式函式
- 【PHP框架CodeIgniter學習】使用輔助函式—建立自己的JSONHelperPHP框架函式JSON
- 類函式和物件函式 PHP函式物件PHP
- PHP 函式庫 1 - 函式庫的分類PHP函式
- php中的extract函式PHP函式
- PHP中的字串函式PHP字串函式
- 幫助命令
- PHP 常用函式PHP函式
- PHP匿名函式PHP函式
- PHP常用函式PHP函式
- PHP函式大全PHP函式
- PHP字串函式PHP字串函式
- php函式案例PHP函式
- PHP extract() 函式PHP函式
- [php]unset函式PHP函式
- php’sfopen()函式PHP函式
- ord函式-php函式PHP
- php’sexplode()函式PHP函式
- 藉助 Evolution Linux 的幫助來輕鬆安裝 Arch LinuxLinux
- 1. 輔助函式 dd()函式
- Laravel自定義輔助函式Laravel函式
- Slackware LILO 安裝幫助文件(轉)
- 一些簡單的函式函式
- oracle的一些函式(一)Oracle函式