首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP安全防范技巧分享

Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码 

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP安全防范技巧分享

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
一个高ai的分页函数和一个url函数
Oct 09 PHP
PHP 基本语法格式
Dec 15 PHP
php更改目录及子目录下所有的文件后缀扩展名的代码
Oct 12 PHP
基于PHP Web开发MVC框架的Smarty使用说明
Apr 19 PHP
php笔记之:php函数range() round()和list()的使用说明
Apr 26 PHP
PHP 伪静态技术原理以及突破原理实现介绍
Jul 12 PHP
php实现与erlang的二进制通讯实例解析
Jul 23 PHP
php json转换成数组形式代码分享
Nov 10 PHP
php实现读取和写入tab分割的文件
Jun 01 PHP
PHP命名空间namespace及use的简单用法分析
Aug 03 PHP
Linux下安装Memcached服务器和客户端与PHP使用示例
Apr 15 PHP
php获取微信openid方法总结
Oct 10 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
Pillow(2) ipyvizzu(1) WeUI(1) vue-esign(1) bufio(1) map(4) 可视化动图(1) pdfkit(1) 蒙特卡罗(1) 微信小程序(9)
You might like
全国FM电台频率大全 - 3 河北省
2020/03/11 无线电
php模板原理讲解
2013/11/13 PHP
php curl模拟post请求小实例
2013/11/13 PHP
ThinkPHP快速入门实例教程之数据分页
2014/07/01 PHP
laravel框架上传图片实现实时预览功能
2019/10/14 PHP
深入浅析安装PhpStorm并激活的步骤详解
2020/09/17 PHP
Firefox 无法获取cssRules 的解决办法
2006/10/11 Javascript
jquery indexOf使用方法
2013/08/19 Javascript
原生JS可拖动弹窗效果实例代码
2013/11/09 Javascript
jQuery实现文件上传进度条特效
2015/08/12 Javascript
jQuery实现的网页竖向菜单效果代码
2015/08/26 Javascript
jquery validate demo 基础
2015/10/29 Javascript
浅谈React 属性和状态的一些总结
2016/11/21 Javascript
Bootstrap实现基于carousel.js框架的轮播图效果
2017/05/02 Javascript
Nodejs回调加超时限制两种实现方法
2017/06/09 NodeJs
在vue中使用cookie记住用户上次选择的实例(本次例子中为下拉框)
2020/09/11 Javascript
Taro小程序自定义顶部导航栏功能的实现
2020/12/17 Javascript
[44:15]DOTA2上海特级锦标赛主赛事日 - 5 败者组决赛Liquid VS EG第二局
2016/03/06 DOTA
[54:45]2018DOTA2亚洲邀请赛 4.1 小组赛 A组 Optic vs OG
2018/04/02 DOTA
跟老齐学Python之集成开发环境(IDE)
2014/09/12 Python
基于python yield机制的异步操作同步化编程模型
2016/03/18 Python
python统计多维数组的行数和列数实例
2018/06/23 Python
解决pycharm工程启动卡住没反应的问题
2019/01/19 Python
Pytorch evaluation每次运行结果不同的解决
2020/01/02 Python
tensorflow 自定义损失函数示例代码
2020/02/05 Python
Gerry Weber德国官网:优质女性时装,德国最大的时装公司之一
2019/11/02 全球购物
华为慧通笔试题
2016/04/22 面试题
Java编程面试题
2016/04/04 面试题
Java面试笔试题大全
2016/11/23 面试题
触电现场处置方案
2014/05/14 职场文书
生物科学专业毕业生求职信
2014/06/02 职场文书
铣床操作工岗位职责
2014/06/13 职场文书
公司总经理岗位职责范本
2014/08/15 职场文书
社区好人好事材料
2014/12/26 职场文书
放飞理想主题班会
2015/08/14 职场文书
Spring Cloud Netflix 套件中的负载均衡组件 Ribbon
2022/04/13 Java/Android