程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP基礎知識 >> 提高PHP網站安全性的5個技巧

提高PHP網站安全性的5個技巧

編輯:PHP基礎知識
 

技巧1:使用合適的錯誤報告

一般在開發過程中,很多程序員總是忘了制作程序錯誤報告,這是極大的錯誤,因為恰當的錯誤報告不僅僅是最好的調試工具,也是極佳的安全漏洞檢測工具,這能讓你把應用真正上線前盡可能找出你將會遇到的問題。

當然也有很多方式去啟用錯誤報告。比如在 php.in 配置文件中你可以設置在運行時啟用

啟動錯誤報告

  1. error_reporting(E_ALL);

停用錯誤報告

  1. error_reporting(0);

技巧2:不使用PHP的Weak屬性 有幾個PHP的屬性是需要被設置為OFF的。一般它們都存在於PHP4裡面,而在PHP5中是不推薦使用的。尤其最後在PHP6裡面,這些屬性都被移除了。

注冊全局變量

當 register_globals 被設置為ON時,就相當於設置Environment,GET,POST,COOKIE或者Server變量都定義為全局變量。此時你根本不需要去寫 $_POST['username']來獲取表單變量'username',只需要'$username'就能獲取此變量了。

那麼你肯定在想既然設置 register_globals 為 ON 有這麼方便的好處,那為什麼不要使用呢?因為如果你這樣做將會帶來很多安全性的問題,而且也可能與局部變量名稱相沖突。

比如先看看下面的代碼:

  1. if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST['password'] ) && $_POST['password'] == “pass123″ )
  2. {
  3. $access = true;
  4. }

如果運行期間, register_globals 被設置為ON,那麼用戶只需要傳輸 access=1 在一句查詢字符串中就能獲取到PHP腳本運行的任何東西了。

在.htaccess中停用全局變量

  1. php_flag register_globals 0

在php.ini中停用全局變量

  1. register_globals = Off

停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes

在.htaccess文件中設置

 
  1. php_flag magic_quotes_gpc 0
  2. php_flag magic_quotes_runtime 0

在php.ini中設置

  1. magic_quotes_gpc = Off
  2.  
  3. magic_quotes_runtime = Off
  4.  
  5. magic_quotes_sybase = Off
  6.  

技巧3:驗證用戶輸入 你當然也可以驗證用戶的輸入,首先必須知道你期望用戶輸入的數據類型。這樣就能在浏覽器端做好防御用戶惡意攻擊你的准備。

技巧4:避免用戶進行交叉站點腳本攻擊 在Web應用中,都是簡單地接受用戶輸入表單然後反饋結果。在接受用戶輸入時,如果允許HTML格式輸入將是非常危險的事情,因為這也就允許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞,cookie數據都可能被盜取進而導致用戶的賬戶被盜取。

技巧5:預防SQL注入攻擊 PHP基本沒有提供任何工具來保護你的數據庫,所以當你連接數據庫時,你可以使用下面這個mysqli_real_escape_string 函數。

  1. $username = mysqli_real_escape_string( $GET['username'] );
  2.  
  3. mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);
  4.  
 
  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved