英文原文:phpzag,編譯:junwong@oschina
大家都知道PHP已經是當前最流行的Web應用程式語言了。但是也與其他指令碼語言一樣,PHP也有幾個很危險的安全漏洞。所以在這篇教學文章中,我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。
技巧1:使用合適的錯誤報告
一般在開發過程中,很多程式設計師總是忘了製作程式錯誤報告,這是極大的錯誤,因為恰當的錯誤報告不僅僅是最好的除錯工具,也是極佳的安全漏洞檢測工具,這能讓你把應用真正上線前儘可能找出你將會遇到的問題。
當然也有很多方式去啟用錯誤報告。比如在 php.in 配置檔案中你可以設定在執行時啟用
啟動錯誤報告
|
1 |
error_reporting(E_ALL); |
停用錯誤報告
|
1 |
error_reporting(0); |
技巧2:不使用PHP的Weak屬性
有幾個PHP的屬性是需要被設定為OFF的。一般它們都存在於PHP4裡面,而在PHP5中是不推薦使用的。尤其最後在PHP6裡面,這些屬性都被移除了。
註冊全域性變數
當 register_globals 被設定為ON時,就相當於設定Environment,GET,POST,COOKIE或者Server變數都定義為全域性變數。此時你根本不需要去寫 $_POST[‘username’]來獲取表單變數’username’,只需要’$username’就能獲取此變數了。
那麼你肯定在想既然設定 register_globals 為 ON 有這麼方便的好處,那為什麼不要使用呢?因為如果你這樣做將會帶來很多安全性的問題,而且也可能與區域性變數名稱相沖突。
比如先看看下面的程式碼:
|
1 2 3 4 5 |
if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST ['password'] ) && $_POST['password'] == “pass123″ ) { $access = true; } |
如果執行期間, register_globals 被設定為ON,那麼使用者只需要傳輸 access=1 在一句查詢字串中就能獲取到PHP指令碼執行的任何東西了。
在.htaccess中停用全域性變數
|
1 |
php_flag register_globals 0 |
在php.ini中停用全域性變數
|
1 |
register_globals = Off |
停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes
在.htaccess檔案中設定
|
1 2 |
php_flag magic_quotes_gpc 0 php_flag magic_quotes_runtime 0 |
在php.ini中設定
|
1 2 3 |
magic_quotes_gpc = Off magic_quotes_runtime = Off magic_quotes_sybase = Off |
技巧3:驗證使用者輸入
你當然也可以驗證使用者的輸入,首先必須知道你期望使用者輸入的資料型別。這樣就能在瀏覽器端做好防禦使用者惡意攻擊你的準備。
技巧4:避免使用者進行交叉站點指令碼攻擊
在Web應用中,都是簡單地接受使用者輸入表單然後反饋結果。在接受使用者輸入時,如果允許HTML格式輸入將是非常危險的事情,因為這也就允許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞,cookie資料都可能被盜取進而導致使用者的賬戶被盜取。
技巧5:預防SQL隱碼攻擊
PHP基本沒有提供任何工具來保護你的資料庫,所以當你連線資料庫時,你可以使用下面這個mysqli_real_escape_string 函式。
|
1 2 |
$username = mysqli_real_escape_string( $GET['username'] ); mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”); |
好了,在這篇簡短的文章中,我們闡述了幾個開發過程中不能忽視的PHP安全性問題。但是最終是否使用,如何使用還是開發人員來決定的。希望這篇文章能幫助到你們。