首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP安全防范技巧分享

Posted in PHP onNovember 03, 2011

PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁,必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此addslashes只是将0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars,只对”<”,”>”,”;”,”'”字符进行转义
htmlentities,对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码 

$str = ""; 
foreach($_POST['H'] as $key=>$value) { 
$str .= $key.$value; 
} 
if($_POST['hash'] != md5($str.$secret)) { 
echo "Hidden form data modified"; exit; 
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安?/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安?: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系?

PHP安全防范技巧分享

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
php木马攻击防御之道
Mar 24 PHP
php adodb介绍
Mar 19 PHP
浅谈web上存漏洞及原理分析、防范方法(安全文件上存方法)
Jun 29 PHP
php sybase_fetch_array使用方法
Apr 15 PHP
CI框架中zip类应用示例
Jun 17 PHP
PHP判断IP并转跳到相应城市分站的方法
Mar 25 PHP
php实现的xml操作类
Jan 15 PHP
php 使用curl模拟ip和来源进行访问的实现方法
May 02 PHP
Discuz不使用插件实现简单的打赏功能
Mar 21 PHP
实例讲解PHP表单
Jun 10 PHP
PHP isset()及empty()用法区别详解
Aug 29 PHP
PHP读取文件或采集时解决中文乱码
Mar 09 PHP
防止本地用户用fsockopen DDOS攻击对策
Nov 02 #PHP
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
Nov 02 #PHP
php数组函数序列之krsort()- 对数组的元素键名进行降序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之asort() - 对数组的元素值进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之sort() 对数组的元素值进行升序排序
Nov 02 #PHP
php数组函数序列之ksort()对数组的元素键名进行升序排序,保持索引关系
Nov 02 #PHP
php数组函数序列之rsort() - 对数组的元素值进行降序排序
Nov 02 #PHP
电台频率(32) 广播(8) 收音机(62) 短波(8) 无线电(12) KDKA(1) Harman Kardon(1) 长波(3) 立体声(1) 保养(1)
You might like
PHP 文章中的远程图片采集到本地的代码
2009/07/30 PHP
解决nginx不支持thinkphp中pathinfo的问题
2015/07/21 PHP
PHP Ajax JavaScript Json获取天气信息实现代码
2016/08/17 PHP
PHP实现的方程求解示例分析
2016/11/11 PHP
php 的多进程操作实践案例分析
2020/02/28 PHP
Javascript 验证上传图片大小[客户端]
2009/08/01 Javascript
javascript 面向对象编程基础:继承
2009/08/21 Javascript
JavaScript中的类继承
2010/11/25 Javascript
基于OO的动画附加插件,可以实现弹跳、渐隐等动画效果 分享
2013/06/24 Javascript
php常见的页面跳转方法汇总
2015/04/15 Javascript
理解js回收机制通俗易懂版
2016/02/29 Javascript
javascript时间排序算法实现活动秒杀倒计时效果
2021/01/28 Javascript
jQuery使用Selectator插件实现多选下拉列表过滤框(附源码下载)
2016/04/08 Javascript
jQuery实现监听下拉框选中内容发生改变操作示例
2018/07/13 jQuery
JS实现的对象去重功能示例
2019/06/04 Javascript
echarts实现晶体球面投影的实例教程
2020/10/10 Javascript
python strip() 函数和 split() 函数的详解及实例
2017/02/03 Python
详解Python爬取并下载《电影天堂》3千多部电影
2019/04/26 Python
Python和Java的语法对比分析语法简洁上python的确完美胜出
2019/05/10 Python
Python中请不要再用re.compile了
2019/06/30 Python
用React加CSS3实现微信拆红包动画效果
2017/03/13 HTML / CSS
CSS3 mask 遮罩的具体使用方法
2017/11/03 HTML / CSS
使用CSS3实现字体颜色渐变的实现
2020/08/10 HTML / CSS
HTML5 LocalStorage 本地存储刷新值还在
2017/03/10 HTML / CSS
浅析canvas元素的html尺寸和css尺寸对元素视觉的影响
2019/07/22 HTML / CSS
Bodum官网:咖啡和茶壶、玻璃器皿、厨房电器等
2018/08/01 全球购物
StubHub希腊:购买体育赛事、音乐会和剧院门票
2019/08/03 全球购物
DOUGLAS波兰:在线销售香水和化妆品
2020/07/05 全球购物
大学军训感言600字
2014/02/25 职场文书
《从现在开始》教学反思
2014/04/15 职场文书
讲文明懂礼貌演讲稿
2014/09/11 职场文书
学校开学标语
2014/10/06 职场文书
商标侵权律师函
2015/05/27 职场文书
办公用品管理制度
2015/08/04 职场文书
用Python实现一个打字速度测试工具来测试你的手速
2021/05/28 Python
简单聊聊TypeScript只读修饰符
2022/04/06 Javascript