首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP安全防范技巧分享

Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码 

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP安全防范技巧分享

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
Mysql中分页查询的两个解决方法比较
May 02 PHP
php全局变量和类配合使用深刻理解
Jun 05 PHP
php url路由入门实例
Apr 23 PHP
php实现图片文件与下载文件防盗链的方法
Nov 03 PHP
Java和PHP在Web开发方面对比分析
Mar 01 PHP
thinkPHP分组后模板无法加载问题解决方法
Jul 12 PHP
CI框架表单验证实例详解
Nov 21 PHP
php一个文件搞定微信jssdk配置
Dec 12 PHP
PHP使用mysqli操作MySQL数据库的简单方法
Feb 04 PHP
PHP面相对象中的重载与重写
Feb 13 PHP
php删除一个路径下的所有文件夹和文件的方法
Feb 07 PHP
tp5框架基于ajax实现异步删除图片的方法示例
Feb 10 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
RustDesk(1) 虚拟键盘(1) Debian(1) 蓝牙耳机(1) 滚动条(1) 蓝屏(1) win7(2) 鸿蒙(2) 鸿蒙3.0(1) 声卡驱动(1)
You might like
一个用mysql_odbc和php写的serach数据库程序
2006/10/09 PHP
解析百度搜索结果link?url=参数分析 (全)
2012/10/09 PHP
解析PHP中一些可能会被忽略的问题
2013/06/21 PHP
php生成唯一的订单函数分享
2015/02/02 PHP
我整理的PHP 7.0主要新特性
2016/01/07 PHP
详解PHP的Yii框架中扩展的安装与使用
2016/04/01 PHP
laravel 框架实现无限级分类的方法示例
2019/10/31 PHP
一个JS的日期格式化算法示例
2013/07/31 Javascript
div浮层,滚动条移动,位置保持不变的4种方法汇总
2013/12/11 Javascript
总结JavaScript三种数据存储方式之间的区别
2016/05/03 Javascript
详解JavaScript中Hash Map映射结构的实现
2016/05/21 Javascript
简述vue中的config配置
2018/01/23 Javascript
JS实现的文件拖拽上传功能示例
2018/05/21 Javascript
javascrpt密码强度校验函数详解
2020/03/18 Javascript
nuxt 服务器渲染动态设置 title和seo关键字的操作
2020/11/05 Javascript
JS+CSS实现动态时钟
2021/02/19 Javascript
跟老齐学Python之关于类的初步认识
2014/10/11 Python
在Django的模型中添加自定义方法的示例
2015/07/21 Python
Python中条件判断语句的简单使用方法
2015/08/21 Python
Python中实例化class的执行顺序示例详解
2018/10/14 Python
Python中正则表达式的用法总结
2019/02/22 Python
Django REST framework 视图和路由详解
2019/07/19 Python
python代码如何实现余弦相似性计算
2020/02/09 Python
PyCharm2020.1.1与Python3.7.7的安装教程图文详解
2020/08/07 Python
小白教你PyCharm从下载到安装再到科学使用PyCharm2020最新激活码
2020/09/25 Python
请解释在new与override的区别
2012/10/29 面试题
品学兼优的大学生自我评价
2013/09/20 职场文书
合同专员岗位职责
2013/12/18 职场文书
《列夫托尔斯泰》教学反思
2014/02/10 职场文书
公司年会主持词
2014/03/22 职场文书
好的促销活动方案
2014/08/21 职场文书
软环境建设心得体会
2014/09/09 职场文书
2014年团员学习十八大思想汇报
2014/09/13 职场文书
教师批评与自我批评材料
2014/10/16 职场文书
自我工作评价范文
2015/03/06 职场文书
浅谈Redis位图(Bitmap)及Redis二进制中的问题
2021/07/15 Redis