安全问题:编写安全的PHP代码
作为网站的所有者或从业者无不希望自己的网站可以安全的运营,然而很多时候网站开发时的一点小疏忽,很可能成为网站巨大的安全隐患。如今web开发的工具和语言有很多,PHP便是其中一种。PHP语言本身具有无可比拟的安全特征,但却没有引起广大网站开发者的重视。网站安全可以保证企业员工敏感数据的安全,甚至能有效的阻止服务器遭劫持等问题。以下笔者将对使用PHP开发时的几点建议和大家讨论,希望可以带给用户一些帮助。 首先,最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾注意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码,但却运行正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名,这些漏洞一旦被黑客利用,其不仅仅是删除文件而且删除整个密码系统或其它敏感信息,最终可能对服务器的正常运转造成巨大的伤害。 网站管理员对所有从外部输入的文件必须检查其内容是否存在恶意代码,同时数据库安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式,这里不做详细阐述,用户如果希望了解数据库安全信息,我会按需求详细介绍。 Magic Quotes Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开,也可以将NULL字节从用户的输入信息中分开。当开启Magic Quote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭Magic Quote的话可以在“runtime”中分析到用户输入数据的字符串。 如果你对PHP还不熟悉,我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板,这样你就可以自己编写一个清除功能了。
如果你的用户正在提交一个需要用户名验证的form时,你可以使用如下的功能:
对于这个Magic Quote来说,有3种指令来实现。你可以参考php.net网站或是php manual。这三种指示基本上就是magic_quotes_gpc,这些用来处理访问请求(get,post,cookies)。magic_quotes_runtime用来处理文件和数据库,外部文件。第三种就是magic_quotes_sybase,如果它被激活的话就会直接废掉magic_quotes_gpc。 通过朦胧而获得的安全 最近你可能没有注意到,但是我发现在一些网站上的PHP语言中可以找得到ASP (Ac |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |