安全问题:编写安全的PHP代码

　　例如，你可以使用php扩展运行php脚本，就和一般情况下一样。为了不让别人看到你的"hello.php"脚本，你实际上使用Apache来隐藏或是迷惑真正的文件扩展名。因此不是使用的"hello.php"扩展名，你可以将这些文件伪装成PERL语言，你的"hello.php"仍然是PHP脚本。就像下面一样：

　　[quote]AddType application/x-httpd-php .asp .py .pl[/quote]

　　我最喜欢的就是编一个文件扩展名, 譬如 .sun 或 .fuck

　　[quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]

　　我确信当黑客在碰到看似是运行php文件的。Sun文件的时候会急于发动攻击，后果可想而知。试一下就知道了。上面的代码使用于Apache配置文件，如果你是在一台共享的主机上的话你就不会访问到Apache配置文件。

　　Register Globals

　　当Global4.2版本出现时PHP发生很大的变化。对于php.ini文件中的INI文件来说这是一个开或闭的选择，PHP并不是逼你采用类似其它语言一样的原始参数，正因为如此，人们将它看作是一种不安全的语言。当register globals开启的时候，它就会允许设置参数的请求。最好的例子就是用户注册形式。我们假设register globals开启：

　　任何用户都可以通过发送GET请求访问敏感信息。你可以通过telnet(用于远程联接服务的标准协议或者实现此协议的软件远程登录)或是浏览器，譬如sin.php?authed=true，这样就会显示敏感信息。如果我们将其关闭，就会阻止这一问题，现在当我们访问sin.php?authed=true页面的时候，就会一片空白。用户不能从外部来源初始化变量。另外一个保护你的变量免于外部来源影响的一个办法就是检查它们是否是通过GET或是POST请求。

　　通过监控GET或是POST请求我们就可以检查到是否有人在我们的变量中注入什么东西。接下来我们收到的消息不仅包括他们已经破坏了变量，还可以及时通知管理员做出应急措施。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!