首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP安全防范技巧分享

Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码 

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP安全防范技巧分享

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
在PHP中使用XML
Oct 09 PHP
PHP的面试题集
Nov 19 PHP
Bo-Blog专用的给Windows服务器的IIS Rewrite程序
Aug 26 PHP
深入解析php中的foreach问题
Jun 30 PHP
浅析PHP安装扩展mcrypt以及相关依赖项(PHP安装PECL扩展的方法)
Jul 05 PHP
PHP中$_SERVER使用说明
Jul 05 PHP
PHP使用ODBC连接数据库的方法
Jul 18 PHP
PHP实现的简单缓存类
Jul 29 PHP
php metaphone()函数的定义和用法
May 15 PHP
PHP读书笔记整理_结构语句详解
Jul 01 PHP
利用PHPStorm如何开发Laravel应用详解
Aug 30 PHP
laradock环境docker-compose操作详解
Jul 29 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
西索(1) 巫师(1) 最终幻想(1) 帝国时代(1) 城市猎人(1) 守望先锋(1) 艾尔登法环(1) Docker(14) 波段(1) explain(2)
You might like
五款常用mysql slow log分析工具的比较分析
2011/05/22 PHP
php获取图片信息的方法详解
2015/12/10 PHP
Yii数据读取与跳转参数传递用法实例分析
2016/07/12 PHP
PHP基于单例模式编写PDO类的方法
2016/09/13 PHP
jqgrid 表格数据导出实例
2013/11/21 Javascript
14款NodeJS Web框架推荐
2014/07/11 NodeJs
JavaScript代码复用模式详解
2014/11/07 Javascript
JS常见问题之为什么点击弹出的i总是最后一个
2016/01/05 Javascript
JS控制页面跳转时未请求要跳转的地址怎么回事
2016/10/14 Javascript
js中删除数组中的某一元素实例(无下标时)
2017/02/28 Javascript
win系统下nodejs环境安装配置
2017/05/04 NodeJs
详解Angular调试技巧之报错404(not found)
2018/01/31 Javascript
浅谈layui里的上传控件问题
2019/09/26 Javascript
vue 微信扫码登录(自定义样式)
2020/01/06 Javascript
Vue数组响应式操作及高阶函数使用代码详解
2020/08/01 Javascript
JavaScript经典案例之简易计算器
2020/08/24 Javascript
在项目vue中使用echarts的操作步骤
2020/09/07 Javascript
python 参数列表中的self 显式不等于冗余
2008/12/01 Python
python备份文件以及mysql数据库的脚本代码
2013/06/10 Python
Win10下Python环境搭建与配置教程
2016/11/18 Python
替换python字典中的key值方法
2018/07/06 Python
Python实现查找二叉搜索树第k大的节点功能示例
2019/01/24 Python
python tkinter 设置窗口大小不可缩放实例
2020/03/04 Python
Django分组聚合查询实例分享
2020/04/29 Python
通过代码实例解析Pytest运行流程
2020/08/20 Python
使用canvas一步步实现图片打码功能的方法
2019/06/17 HTML / CSS
Marriott中国:万豪国际酒店查询预订
2016/09/02 全球购物
Jo Malone美国官网:祖玛珑香水
2017/03/27 全球购物
美国在线轮胎零售商:SimpleTire
2019/04/08 全球购物
奥地利领先的在线药房:SHOP APOTHEKE
2019/10/07 全球购物
英国银首饰公司:e&e Jewellery
2021/02/11 全球购物
计算机个人求职信范例
2014/01/24 职场文书
爱国主义演讲稿
2014/05/07 职场文书
竞选大学学委演讲稿
2014/09/13 职场文书
Mysql Innodb存储引擎之索引与算法
2022/02/15 MySQL
Java实现二分搜索树的示例代码
2022/03/17 Java/Android