PHP安全防范技巧分享


Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP 相关文章推荐
PHP文本数据库的搜索方法
Oct 09 PHP
使用 eAccelerator加速PHP代码的方法
Sep 30 PHP
php HandlerSocket的使用
May 02 PHP
php实现建立多层级目录的方法
Jul 19 PHP
php实现给图片加灰色半透明效果的方法
Oct 20 PHP
Yii框架获取当前controlle和action对应id的方法
Dec 03 PHP
php通过前序遍历树实现无需递归的无限极分类
Jul 10 PHP
laravel使用Faker数据填充的实现方法
Apr 12 PHP
PHP全局使用Laravel辅助函数dd
Dec 26 PHP
gearman管理工具GearmanManager的安装与php使用方法示例
Feb 27 PHP
PHP与Web页面交互操作实例分析
Jun 02 PHP
基于PHP+Mysql简单实现了图书购物车系统的实例详解
Aug 06 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
You might like
第三节 定义一个类 [3]
2006/10/09 PHP
PHP并发场景的三种解决方案代码实例
2021/02/27 PHP
自动完成JS类(纯JS, Ajax模式)
2009/03/12 Javascript
通过DOM脚本去设置样式信息
2010/09/19 Javascript
用于节点操作的API,颠覆原生操作HTML DOM节点的API
2010/12/11 Javascript
jquery实现div阴影效果示例代码
2013/09/16 Javascript
用js将内容复制到剪贴板兼容浏览器
2014/03/18 Javascript
JS动态改变表格边框宽度的方法
2015/03/31 Javascript
使用console进行性能测试
2015/04/27 Javascript
javascript实现点击按钮弹出一个可关闭层窗口同时网页背景变灰的方法
2015/05/13 Javascript
AngularJS 模块化详解及实例代码
2016/09/14 Javascript
JS 实现Base64编码与解码实例详解
2016/11/07 Javascript
js实现界面向原生界面发消息并跳转功能
2016/11/22 Javascript
javascript实现一个网页加载进度loading
2017/01/04 Javascript
jQuery中绑定事件bind() on() live() one()的异同
2017/02/23 Javascript
使用JavaScript进行表单校验功能
2017/08/01 Javascript
js实现可以点击收缩或张开的悬浮窗
2017/09/18 Javascript
原生js调用json方法总结
2018/02/22 Javascript
详解node Async/Await 更好的异步编程解决方案
2018/05/10 Javascript
Easyui 去除jquery-easui tab页div自带滚动条的方法
2019/05/10 jQuery
关于layui toolbar和template的结合使用方法
2019/09/19 Javascript
Python利用matplotlib生成图片背景及图例透明的效果
2017/04/27 Python
python出现&quot;IndentationError: unexpected indent&quot;错误解决办法
2017/10/15 Python
Python MySQL 日期时间格式化作为参数的操作
2020/03/02 Python
python实现一个猜拳游戏
2020/04/05 Python
Python更换pip源方法过程解析
2020/05/19 Python
Java byte数组操纵方式代码实例解析
2020/07/22 Python
python Tornado框架的使用示例
2020/10/19 Python
CSS+jQuery+PHP+MySQL实现的在线答题功能
2015/04/25 HTML / CSS
有机童装:Toby Tiger
2018/05/23 全球购物
可以在一个PHP文件里面include另外一个PHP文件两次吗
2015/05/22 面试题
会计工作总结范文2014
2014/12/23 职场文书
综合测评自我评价
2015/03/06 职场文书
企业财务管理制度范本
2015/08/04 职场文书
2019年学校消防安全责任书(2篇)
2019/10/09 职场文书
JS轻量级函数式编程实现XDM三
2022/06/16 Javascript