PHP安全建议#5

　　PHP安全是一个持续的任务，它要求程序员思考应用程序参数外面的情况，现在，光是想着“它(应用程序)做了我想让它做的事吗?”你必须同时考虑到"人们还能用它来干什么和我允许他们这样做吗?"今天的安全建议是一个所有程序员必须每天背诵的格言：

　　永远不要相信用户。(Never trust the user)

　　用户是邪恶的，尽管就现实生活来说是很悲哀的事情，他们千方百计就为了破解你的应用程序，只要你掉以轻心然后这样想着：“我不过是兜售一点喂饱了的小动物而已(开发应用程序的一个比喻，译者注)，我的用户真的能这么邪恶?”，那么你已经输掉了这声战斗。

　　好吧，也许事情还没这么恐怖的地步，但你仍然需要对一部分用户保持警惕之心。第二个所有程序员必须每天背诵的格言出现了

　　过滤输入，编码输出(Filter Input, Escape Output)

　　是的，FIFO(好吧，它的发音不像GIGO那么酷) ，它却是所有具有安全意识的程序员赖以生存的魔咒之一。

　　------------------------------------------------------------------------------

　　PHP Security Tip #6

　　Cal Evans (editor) | 5 comments | Thursday, March 8, 2007

　　The topic of writing secure applications in PHP covers more than just writing good PHP code. Most applications make use of a database of some kind. Many times, vulnerabilities that affect the entire application, are introduced when building the SQL code. Today''s Tip of the Day deals with one easy solution developers can implement.

　　When dealing with numbers in a SQL query, always cast.

　　Even if you are filtering your input, a good and easy to implement safety measure is to cast all numeric values in the SQL statement. Take for example the following code.

　　$myId = filter_var(

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

[翻译]PHP安全小建议（上） 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-23 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 上一页12345下一页 分享到： 更多 你可能对下面的文章感兴趣 任务列表分派给多个线程的策略及方法 - 编程入门网 linux 文件特殊权限位小结 每天一个知识点linux(十二)作业管理命令 Linux red4下配置mysql apach php 有趣的Unicode CSS类命名方式 JSP+XML实现网页内容动态显示的方案 Linux下SENDMAIL OPENWEBMAIL(1) 在Fedora上建立自己的邮件服务器(2) Photoshop照片处理教程:青蓝色调女孩图片 PS教程:黑白质感肤色漂亮个性妹妹 上一篇: 一个简单的PHP文件上传方法下一篇: PHPlot 5.3.1使用GD扩展来生成 PNG/GIF/JPEG图表 关于[翻译]PHP安全小建议（上）的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Linux系统下使用split命令分割大文件 ASP.NET对URL加密解密 Linux 1219进程笔记整理（中午） CMD里或登陆远程linux服务器时命令行下复制和粘贴实现方法 一般故障解决 sudo命令的使用 在Flash MX中实现自由拖动图片和改变图片(3) Flash AS3怎么读取FLA文件的元件 CSS 3备受期待的8大功能 swishmax做跳动的球 15分钟学会Eclipse GMF - 编程入门网 DIV+CSS网页制作这种叫法不准确 sshd服务相关排障 在DotNetNuke中利用Reports模块拼凑数据（三） Ruby on rails开发从头来（windows）（三十二）- Rails的配置文件 - 编程入门网 形状的重叠 Entity Framework学习中级篇3—存储过程(中) 国产FTP助手--网络传神4 cpulimit(限制CPU使用率工具) 纽约时报：国家顶级域名掀起掘金热

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　$sql = ''SELECT * FROM table WHERE id = ''.$myId;

　　Even though you are applying the native PHP filters built into PHP 5.2, there is something additional you can do. Try this instead.

　　$myId = filter_var(

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

[翻译]PHP安全小建议（上） 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-23 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 上一页12345下一页 分享到： 更多 你可能对下面的文章感兴趣 任务列表分派给多个线程的策略及方法 - 编程入门网 linux 文件特殊权限位小结 每天一个知识点linux(十二)作业管理命令 Linux red4下配置mysql apach php 有趣的Unicode CSS类命名方式 JSP+XML实现网页内容动态显示的方案 Linux下SENDMAIL OPENWEBMAIL(1) 在Fedora上建立自己的邮件服务器(2) Photoshop照片处理教程:青蓝色调女孩图片 PS教程:黑白质感肤色漂亮个性妹妹 上一篇: 一个简单的PHP文件上传方法下一篇: PHPlot 5.3.1使用GD扩展来生成 PNG/GIF/JPEG图表 关于[翻译]PHP安全小建议（上）的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Linux系统下使用split命令分割大文件 ASP.NET对URL加密解密 Linux 1219进程笔记整理（中午） CMD里或登陆远程linux服务器时命令行下复制和粘贴实现方法 一般故障解决 sudo命令的使用 在Flash MX中实现自由拖动图片和改变图片(3) Flash AS3怎么读取FLA文件的元件 CSS 3备受期待的8大功能 swishmax做跳动的球 15分钟学会Eclipse GMF - 编程入门网 DIV+CSS网页制作这种叫法不准确 sshd服务相关排障 在DotNetNuke中利用Reports模块拼凑数据（三） Ruby on rails开发从头来（windows）（三十二）- Rails的配置文件 - 编程入门网 形状的重叠 Entity Framework学习中级篇3—存储过程(中) 国产FTP助手--网络传神4 cpulimit(限制CPU使用率工具) 纽约时报：国家顶级域名掀起掘金热

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　$sql = ''SELECT * FROM table WHERE id = ''.(int)$myId;

　　This final cast of the variable to an int removes any doubt about what will be passed to MySQL. The example above is purposefully simplified. In real-life situations, the code would be more complex and the chance for error much greater. By applying the final cast to in building the select statement, you are adding one more level of safety into your application.

　　------------------------------------------------------------------------------

　　PHP安全建议#6

　　编写安全的PHP应用程序的话题远不止编写良好的PHP代码，大部分的应用都会这样或那样地用到数据库，很多时候，在建立SQL代码的过程中，影响整个应用的安全隐患也钻了进来。

　　在SQL查询中处理数字时，务必进行投射(cast)

　　即使在过滤输入，一个简单而好用的安全措施是在SQL语句中投射所有的数字类型值。如下列代码所示

　　$myId = filter_var(

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

[翻译]PHP安全小建议（上） 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-23 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 上一页12345下一页 分享到： 更多 你可能对下面的文章感兴趣 任务列表分派给多个线程的策略及方法 - 编程入门网 linux 文件特殊权限位小结 每天一个知识点linux(十二)作业管理命令 Linux red4下配置mysql apach php 有趣的Unicode CSS类命名方式 JSP+XML实现网页内容动态显示的方案 Linux下SENDMAIL OPENWEBMAIL(1) 在Fedora上建立自己的邮件服务器(2) Photoshop照片处理教程:青蓝色调女孩图片 PS教程:黑白质感肤色漂亮个性妹妹 上一篇: 一个简单的PHP文件上传方法下一篇: PHPlot 5.3.1使用GD扩展来生成 PNG/GIF/JPEG图表 关于[翻译]PHP安全小建议（上）的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 Linux系统下使用split命令分割大文件 ASP.NET对URL加密解密 Linux 1219进程笔记整理（中午） CMD里或登陆远程linux服务器时命令行下复制和粘贴实现方法 一般故障解决 sudo命令的使用 在Flash MX中实现自由拖动图片和改变图片(3) Flash AS3怎么读取FLA文件的元件 CSS 3备受期待的8大功能 swishmax做跳动的球 15分钟学会Eclipse GMF - 编程入门网 DIV+CSS网页制作这种叫法不准确 sshd服务相关排障 在DotNetNuke中利用Reports模块拼凑数据（三） Ruby on rails开发从头来（windows）（三十二）- Rails的配置文件 - 编程入门网 形状的重叠 Entity Framework学习中级篇3—存储过程(中) 国产FTP助手--网络传神4 cpulimit(限制CPU使用率工具) 纽约时报：国家顶级域名掀起掘金热

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　$sql = ''SELECT * FROM table WHERE id = ''.$myId;

　　即便你使用PHP5.2内置的原生PHP过滤器(请参考最新PHP手册【某些旧的中文版本的PHP手册没有这个章节】Data Filtering一节，译者注)，你还可以做一些其他

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!