首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP安全防范技巧分享

Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码 

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP安全防范技巧分享

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
用PHP实现小写金额转换大写金额的代码(精确到分)
Jan 10 PHP
php shell超强免杀、减少体积工具实现代码
Oct 16 PHP
基于php伪静态的实现详细介绍
Apr 28 PHP
php中生成随机密码的自定义函数代码
Oct 21 PHP
PHP检测字符串是否为UTF8编码的常用方法
Nov 21 PHP
php将access数据库转换到mysql数据库的方法
Dec 24 PHP
PHP中对数组的一些常用的增、删、插操作函数总结
Nov 27 PHP
PHP array_key_exists检查键名或索引是否存在于数组中的实现方法
Jun 13 PHP
PHP中$GLOBALS['HTTP_RAW_POST_DATA']和$_POST的区别分析
Jul 03 PHP
PHP实现的超长文本分页显示功能示例
Jun 04 PHP
PHP常用的类封装小结【4个工具类】
Jun 28 PHP
PHP生成随机密码4种方法及性能对比
Dec 11 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
帝国时代(1) 巫师(1) 我的世界(1) 艾尔登法环(1) 守望先锋(1) 最终幻想(1) 小缇娜的奇幻之地(1) Docker(14) explain(2) 暴雪(1)
You might like
PHP学习之PHP变量
2006/10/09 PHP
详解PHP中的null合并运算符
2015/12/30 PHP
Zend Framework动作助手Json用法实例分析
2016/03/05 PHP
PHP中的表达式简述
2016/05/29 PHP
功能强大的PHP发邮件类
2016/08/29 PHP
php获取微信共享收货地址的方法
2017/12/21 PHP
发布一个基于javascript的动画类 Fx.js
2010/11/05 Javascript
Jquery网页出现的乱码问题的三种解决方法
2013/06/30 Javascript
使用JavaScript 编写简单计算器
2014/11/24 Javascript
JS实现带鼠标效果的头像及文章列表代码
2015/09/27 Javascript
通过BootStrap实现轮播图的实际应用
2016/09/26 Javascript
深入理解选择框脚本[推荐]
2016/12/13 Javascript
Vue 2.x教程之基础API
2017/03/06 Javascript
JavaScript中this的用法及this在不同应用场景的作用解析
2017/04/13 Javascript
TypeScript基础入门教程之三重斜线指令详解
2018/10/22 Javascript
详解将微信小程序接口Promise化并使用async函数
2019/08/05 Javascript
js实现旋转木马轮播图效果
2020/01/10 Javascript
openlayers4实现点动态扩散
2020/08/17 Javascript
Python中用Ctrl+C终止多线程程序的问题解决
2013/03/30 Python
python基础教程之循环介绍
2014/08/29 Python
python从入门到精通(DAY 3)
2015/12/20 Python
用Pelican搭建一个极简静态博客系统过程解析
2019/08/22 Python
python redis 批量设置过期key过程解析
2019/11/26 Python
Python使用GitPython操作Git版本库的方法
2020/02/29 Python
Python多线程操作之互斥锁、递归锁、信号量、事件实例详解
2020/03/24 Python
基于Python下载网络图片方法汇总代码实例
2020/06/24 Python
canvas实现滑动验证的实现示例
2020/08/11 HTML / CSS
Kathmandu英国网站:新西兰户外运动品牌
2017/03/27 全球购物
中学生个人自我评价
2014/02/06 职场文书
校园安全教育广播稿
2014/02/17 职场文书
中班幼儿评语大全
2014/04/30 职场文书
司机岗位职责
2015/02/04 职场文书
2015暑期工社会实践报告
2015/07/13 职场文书
大学生社会实践感想
2015/08/11 职场文书
《我要的是葫芦》教学反思
2016/02/18 职场文书
2016计划生育先进个人事迹材料
2016/02/29 职场文书