PHP教程之PHP平安提防常识
完成一个功能齐全的动态站点 PHP代码平安和XSS,SQL注入等关于各类网站的平安十分顶用,特别是UGC(User Generated Content)网站,服装论坛和电子商务网站,经常是XSS和SQL注入的重灾区。这里复杂引见一些根基编程要点, 绝对体系平安来讲,php平安提防更多请求编程人员对用户输出的各类参数能更仔细.php编译过程当中的平安
建议装置Suhosin补钉,必装平安补钉
php.ini平安设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =
DB SQL预处置
mysql_real_escape_string (良多PHPer仍在依托addslashes避免SQL注入,然而这类体例对中文编码依然是有成绩的。addslashes的成绩在于黑客可以用 0xbf27来取代单引号,GBK编码中0xbf27不是一个正当字符,因而addslashes只是将0xbf5c27,成为一个无效的多字节字符,其 中的0xbf5c仍会被看做是单引号,详细见这篇文章)。用mysql_real_escape_string函数也需求指定准确的字符集,不然仍然能够 有成绩。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或quoteInto, 这两个办法是依据各类数据库实行不必办法的,不会像mysql_real_escape_string只能用于mysql
用户输出的处置
无需保存HTML标签的可以用以下办法
strip_tags, 删除string中一切html标签
htmlspecialchars,只对”<”,”>”,”;”,”’”字符停止本义
htmlentities,对一切html停止本义
必需保存HTML标签情形下可以思索以下东西:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML
上传文件
用is_uploaded_file和move_uploaded_file函数,利用HTTP_POST_FILES[]数组。并经由过程去失落上传目次的PHP注释功效来避免用户上传php剧本。
ZF框架下可以思索利用File_upload模块
Session,Cookie和Form的平安处置
不要依附Cookie停止中心验证,主要信息需求加密, Form Post之前对传输数据停止哈希, 例如你收回去的form元素以下:
<input type="hidden" name="H" value="<?php echo $Oname?>"/> <input type="hidden" name="H" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />
POST回来以后对参数停止验证
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}
PHP平安检测东西(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 玲珑的站点破绽检测东西) (SQL injection/XSS进击反省东西)
安b/利用办法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺点剖析东西)
安b: apt-get install default-jdk
小试一下身手,大概是没问题了,那么交给你个任务,做个留言本吧,这和HELLO WORLD有一比啊!^_^,同是新手面临的第一道关。 个人呢觉得,配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下,还有重启apache。 曾经犯过一个很低级的错误,我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号,结果找了好几个小时的错误,事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的,应该用的是下划线\\\\\\\'_\\\\\\\' ; 说点我烦的低级错误吧,曾经有次插入mysql的时间 弄了300年结果老报错,其实mysql的时间是有限制的,大概是到203X年具体的记不清啦,囧。 环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候,我强烈建议多读php手册。 要进行开发,搭建环境是首先需要做的事,windows下面我习惯把环境那个安装在C盘下面,因为我配的环境经常出现诡异事件,什么事都没做环境有的时候就不能用啦。 使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。 先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。 不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。 这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。 实践是检验自己会不会的真理。 本人接触php时间不长,算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指,碰过不少疙瘩,呗很多小问题卡过很久,白白浪费不少宝贵的时间,在次分享一些子的学习的心得。 作为一个合格的coder 编码的规范是必须,命名方面我推崇“驼峰法”,另外就是自己写的代码最好要带注释,不然时间长了,就算是自己的代码估计看起来都费事,更不用说别人拉。 不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。 使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。 ,熟悉html,能用div+css,还有javascript,优先考虑linux。我在开始学习的时候,就想把这些知识一起学习,我天真的认为同时学习能够互相呼应,因为知识是相通的。 开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。 其实也不算什么什么心得,在各位大侠算是小巫见大巫了吧,望大家不要见笑,若其中有错误的地方请各位大虾斧正。 首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。 这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。
页:
[1]