PHP里8个鲜为人知的安全函数分析


Posted in PHP onDecember 09, 2014

本文实例讲述了PHP里8个鲜为人知的安全函数。分享给大家供大家参考。具体分析如下:

安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。这里我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。

在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP中常用的、可以确保项目安全的函数。注意,这并不是完整的列表,是我觉得对于你的i项目很有的一些函数。

1. mysql_real_escape_string()

这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在连接数据库的前提下使用这个函数。
但是现在已经不推荐使用mysql_real_escape_string()了,所有新的应用应该使用像PDO一样的函数库执行数据库操作,也就是说,我们可以使用现成的语句防止SQL注入攻击。

2. addslashes()

这个函数的原理跟mysql_real_escape_string()相似。但是当在php.ini文件中,“magic_quotes_gpc“的值是“on”的时候,就不要使用这个函数。magic_quotes_gpc 的默认值是on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。你可以使用get_magic_quotes_gpc()函数来确定它是否开启。

3. htmlentities()

这个函数对于过滤用户输入的数据非常有用。它会将一些特殊字符转换为HTML实体。例如,用户输入<时,就会被该函数转化为HTML实体<(<),输入>就被转为实体>.

4. htmlspecialchars()

在HTML中,一些特定字符有特殊的含义,如果要保持字符原来的含义,就应该转换为HTML实体。这个函数会返回转换后的字符串,例如'&' (ampersand) 转为'&'

ps:此处原文有误,在此非常感谢瑾瑜  提出。现已更正,另外附上此函数常见的转换字符:

The translations performed are:
 '&' (ampersand) becomes '&'
 '”' (double quote) becomes '"' when ENT_NOQUOTES is not set.
 “'” (single quote) becomes ''' (or ') only when ENT_QUOTES is set.
 '<' (less than) becomes '<'
 '>' (greater than) becomes '>'

5. strip_tags()

这个函数可以去除字符串中所有的HTML,JavaScript和PHP标签,当然你也可以通过设置该函数的第二个参数,让一些特定的标签出现。

6. md5()

从安全的角度来说,一些开发者在数据库中存储简单的密码的行为并不值得推荐。md5()函数可以产生给定字符串的32个字符的md5散列,而且这个过程不可逆,即你不能从md5()的结果得到原始字符串。
现在这个函数并不被认为是安全的,因为开源的数据库可以反向检查一个散列值的明文。你可以在这里找到一个MD5散列数据库列表

7. sha1()

这个函数与md5()类似,但是它使用了不同的算法来产生40个字符的SHA-1散列(md5产生的是32个字符的散列)。也不要把绝对安全寄托在这个函数上,否则会有意想不到的结果。

8. intval()

先别笑,我知道这个函数和安全没什么关系。intval()函数是将变量转成整数类型,你可以用这个函数让你的PHP代码更安全,特别是当你在解析id,年龄这样的数据时。

此处附上英文原文地址:http://www.pixelstech.net/article/1300722997-Useful-functions-to-provide-secure-PHP-application

希望本文所述对大家的PHP程序设计有所帮助。

PHP 相关文章推荐
第四节 构造函数和析构函数 [4]
Oct 09 PHP
PHP 日期时间函数的高级应用技巧
Oct 10 PHP
php access 数据连接与读取保存编辑数据的实现代码
May 12 PHP
小文件php+SQLite存储方案
Sep 04 PHP
php运行出现Call to undefined function curl_init()的解决方法
Nov 02 PHP
基于php导出到Excel或CSV的详解(附utf8、gbk 编码转换)
Jun 25 PHP
你应该知道PHP浮点数知识
May 13 PHP
PHP中SERIALIZE和JSON的序列化与反序列化操作区别分析
Oct 11 PHP
CI框架入门之MVC简单示例
Nov 21 PHP
thinkPHP数据查询常用方法总结【select,find,getField,query】
Mar 15 PHP
php正确输出json数据的实例讲解
Aug 21 PHP
THINKPHP5分页数据对象处理过程解析
Oct 28 PHP
php实现MySQL数据库备份与还原类实例
Dec 09 #PHP
两个php日期控制类实例
Dec 09 #PHP
php中Ctype函数用法详解
Dec 09 #PHP
完美解决thinkphp验证码出错无法显示的方法
Dec 09 #PHP
thinkphp缓存技术详解
Dec 09 #PHP
ThinkPHP中url隐藏入口文件后接收alipay传值的方法
Dec 09 #PHP
php生成shtml类用法实例
Dec 09 #PHP
You might like
php实现统计邮件大小的方法
2013/08/06 PHP
解析php开发中的中文编码问题
2013/08/08 PHP
PHP正则表达式之捕获组与非捕获组
2015/11/06 PHP
laravel利用中间件做防非法登录和权限控制示例
2019/10/21 PHP
js最简单的拖拽效果实现代码
2010/09/24 Javascript
jquery实现瀑布流效果分享
2014/03/26 Javascript
js实现网页右上角滑出会自动消失大幅广告的方法
2015/02/27 Javascript
JavaScript数组常用方法
2015/03/02 Javascript
jQuery源码分析之Callbacks详解
2015/03/13 Javascript
轻松实现JavaScript图片切换
2016/01/12 Javascript
BootStrap使用file-input插件上传图片的方法
2016/09/05 Javascript
详解nodejs模板引擎制作
2017/06/14 NodeJs
Angular.js通过自定义指令directive实现滑块滑动效果
2017/10/13 Javascript
jQuery Dom元素操作技巧
2018/02/04 jQuery
vue使用jsonp抓取qq音乐数据的方法
2018/06/21 Javascript
微信小程序实现手势滑动效果
2019/08/26 Javascript
Vue实现购物车实例代码两则
2020/05/30 Javascript
Nodejs + sequelize 实现增删改查操作
2020/11/07 NodeJs
jQuery实现容器间的元素拖拽功能
2020/12/01 jQuery
Python深入学习之上下文管理器
2014/08/31 Python
Python使用struct处理二进制的实例详解
2017/09/11 Python
Python实现的多线程同步与互斥锁功能示例
2017/11/30 Python
python安装twisted的问题解析
2018/08/21 Python
python打包生成的exe文件运行时提示缺少模块的解决方法
2018/10/31 Python
pyqt5让图片自适应QLabel大小上以及移除已显示的图片方法
2019/06/21 Python
Python笔记之代理模式
2019/11/20 Python
python如何操作mysql
2020/08/17 Python
PHP经典面试题
2016/09/03 面试题
高中地理教学反思
2014/01/29 职场文书
初中高效课堂实施方案
2014/02/26 职场文书
大学生标准自荐书
2014/06/15 职场文书
2015暑假打工实践报告
2015/07/13 职场文书
2016年端午节寄语
2015/12/04 职场文书
女人创业励志语录,句句蕴含能量,激发你的潜能
2019/08/20 职场文书
Pytorch 如何加速Dataloader提升数据读取速度
2021/05/28 Python
《英雄联盟》2022日蚀、月蚀皮肤演示 黑潮亚索曝光
2022/04/13 其他游戏