1.不要依赖注册全局变量功能(register_globals)
注册全局变量的出现曾经让PHP变得非常易用,但也降低了安全性(方便之处经常会破坏安全性)。建议在编程时把register_globals指令关闭,在PHP6中这个功能也会被取消。
2.在使用变量之前对其进行初始化。
如果register_globals功能是启动的,即使程序员不使用它,恶意用户也可能利用为初始化变量的漏洞来侵入我们的系统。比如:
if(conditon){
$auth=TRUE;
}
如果变量$auth没有在这段之前被初始化为FALSE,那么用户就可以向脚本传递$_GET[‘auth']、$_POST[‘auth']或$_COOKIE[‘auth']轻易的实现验证。
3.检验和净化全部输入数据。
4.在利用变量引用包含文件时要小心。
如果脚本中有这样的代码:
require($page);
那么就应该确保$page不会来自外部资源(比如$_GET),或者,如果它的确来自于外部资源,那么就要确保它包含适当的值。
5.在使用任何服务器上执行命令的函数都要多加小心。
这些函数包括eval()、exec()、system()、passthru()、popen()和反撇号(``)。这些函数都能够在服务器上执行命令,永远都不要随意使用。如果在命令里不得不包含便来那个,就应该对这个变量进行彻底的安全检查。还应该使用escapeshellarg() escapeshellcom()进行额外的预处理。
6.更改默认的会话目录,或者使用数据库保存会话数据。
7.不要使用浏览器提供的文件名在服务器上保存上传的文件。
8.如果被提交的数据需要在web页面中重新显示,一定要注意其中的HTML,更重要的是JAVASCRIPT
可以利用函数
string htmlspecialchars ( string string [, int quote_style [, string charset]])
对提交的数据进行处理
9。不要在站点上暴露你的PHP错误信息
PHP错误信息能够在你开发的过程中把错误信息输出方便你的检查,但是如果暴露在Web上面,很可以成为攻击者的入口。
10.防止SQL注入攻击。
应该使用特定语言的数据库转义函数,比如mysqli_real_escape_data(),确保提交的内容不会破坏查询操作。
11.永远不要在服务器上保存phpinfo()脚本。
PHP安全技术之 实现php基本安全
2019-11-08 13:37php教程网 PHP教程
php开发过程中,需要注意的一些安全小细节,屏蔽错误提示,多考虑下安全问题。
延伸 · 阅读
- 2019-11-11一篇有意思的技术文章php介绍篇
- PHP教程
Thinkphp5框架异常处理操作实例分析
这篇文章主要介绍了Thinkphp5框架异常处理操作,结合实例形式分析了Thinkphp5框架异常处理操作原理、操作方法与相关使用技巧,需要的朋友可以参考下...
- PHP教程
Yii2实现上下联动下拉框功能的方法
这篇文章主要介绍了Yii2实现上下联动下拉框功能的方法,简单分析了上下联动下拉框功能的概念、原理与实现技巧,需要的朋友可以参考下...
- PHP教程
php中实现进程锁与多进程的方法
这篇文章给大家介绍了单进程的情况的进程锁实现、进程锁实现多进程、进程锁在yii2中的实现以及杀死进程的命令,有需要的朋友们可以参考借鉴,下面来...
- PHP教程
你真的了解PHP中的引用符号(&)吗
php的引用就是在变量或者函数、对象等前面加上&符号,但PHP中的&符号你真的了解吗?真的会用吗?下面随着小编来一起学习学习吧...
- PHP教程
在windows服务器开启php的gd库phpinfo中未发现
在windows服务器开启php的gd库时,使用cgi之后phpinfo()得到的结果中 Configure Command 中并没有出现gd,很是疑惑,于是搜集了一些,希望对你们有帮助,感兴趣的朋...
- PHP教程
PHP 将逗号、空格、回车分隔的字符串转换为数组的函数
我们在搜索一些东西时会经常遇到可以通过空格隔开来达到输入多个条件的目的。今天正好项目中遇到了这个情况,就写了一个函数,将多个条件放到数组...
- PHP教程
解决PHP在DOS命令行下却无法链接MySQL的技术笔记
前段时间,由于要用 php 进行 Shell 编程时,碰到了 PHP 在 WEB 下可以连接 MySQL 而在 DOS COMMAND 命令行下却连接失败的问题。 ...
- PHP教程
yii框架配置默认controller和action示例
这篇文章主要介绍了yii框架配置默认controller和action示例,需要的朋友可以参考下...