平安效果:编写平安的PHP代码-PHP教程
日期:2010-09-20 浏览次数:20414 次
首先,最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾留意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码,但却运转正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名,这些漏洞一旦被黑客利用,其不只仅是删除文件而且删除整个密码系统或其它敏感信息,最终可能对服务器的正常运转形成巨大的伤害。
网站管理员对所有从外部输入的文件必须检查其内容能否存在恶意代码,同时数据库安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式,这里不做详细阐述,用户如果希望了解数据库安全信息,我会按需求详细引见。
Magic Quotes
Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开,也可以将NULL字节从用户的输入信息中分开。当开启Magic Quote时的一个问题是你能否希望你的用户进行引号过滤。如果你关闭Magic Quote的话可以在“runtime”中分析到用户输入数据的字符串。
如果你对PHP还不熟悉,我建议你开启这一功用直到你学会了怎样样分析和表现用户输入的数据。我团体建议使用我编写的“清除”功用。我将会给你提供一个模板,这样你就可以本人编写一个清除功用了。
|
<?php function clean($string) { $string = stripslashes($string); $string = htmlentities($string); $string = strip_tags($string); return $string; } ?> |
如果你的用户正在提交一个需求用户名验证的form时,你可以使用如下的功用:
|
<?php $username = $_POST[username]; echo clean($mystring); ?> |
对于这个Magic Quote来说,有3种指令来实现。你可以参考php.net网站或是php manual。这三种指示基本上就是magic_quotes_gpc,这些用来处理访问请求(get,post,cookies)。magic_quotes_runtime用来处理文件和数据库,外部文件。第三种就是magic_quotes_sybase,如果它被激活的话就会直接废掉magic_quotes_gpc。
通过朦胧而获得的安全
最近你可能没有留意到,但是我发如今一些网站上的PHP言语中可以找得到ASP (Active Server Page 动态服务器主页)或是PERL(一种GGI脚本言语)扩展言语,我们可以100%肯定这个网站使用的正是PHP/SQL为基础的架构。这是一种典型的迷惑式安全策略,而不是通知黑客你使用的正是PHP脚本从而误导他们以为你运转的是PERL或python或是其它任何脚本言语。
例如,你可以使用php扩展运转php脚本,就和普通情况下一样。为了不让别人看到你的"hello.php"脚本,你实际上使用Apache来隐藏或是迷惑真正的文件扩展名。因此不是使用的"hello.php"扩展名,你可以将这些文件伪装成PERL言语,你的"hello.php"仍然是PHP脚本。就像下面一样:
[quote]AddType application/x-httpd-php .asp .py .pl[/quote]
我最喜欢的就是编一个文件扩展名, 譬如 .sun 或 .fuck
[quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]
我确信当黑客在碰到看似是运转php文件的。Sun文件的时候会急于发动攻击,后果可想而知。试一下就知道了。上面的代码使用于Apache配置文件,如果你是在一台共享的主机上的话你就不会访问到Apache配置文件。
Register Globals
当Global4.2版本出现时PHP发生很大的变化。对于php.ini文件中的INI文件来说这是一个开或闭的选择,PHP并不是逼你采用类似其它言语一样的原始参数,正由于如此,人们将它看作是一种不安全的言语。当register globals开启的时候,它就会允许设置参数的请求。最好的例子就是用户注册方式。我们假设register globals开启:
