ss_9e4233f2cd7cae35866cd8b61d9fa42b
正如您所见,在输出时(参见清单 7),会话文件以非常易读的格式包含信息。由于该文件必须可由 Web 服务器用户读写,因此会话文件可能为共享服务器中的所有用户带来严重的问题。除您之外的某个人可以编写脚本来读取这些文件,因此可以尝试从会话中取出值。
清单 7. 会话文件的内容 userName|s:5:"ngood";accountNumber|s:9:"123456789";
存储密码
不管是在数据库、会话、文件系统中,还是在任何其他表单中,无论如何密码都决不能存储为纯文本。处理密码的最佳方法是将其加密存储并相互比较加密的密码。虽然如此,在实践中人们仍然把密码存储到纯文本中。只要使用可以发送密码而非重置密码的 Web 站点,就意味着密码是存储在纯文本中或者可以获得用于解密的代码(如果加密的话)。即使是后者,也可以找到并使用解密代码。 您可以采取两项操作来保护会话数据。第一是把您放入会话中的所有内容加密。但是正因为加密数据并不意味着绝对安全,因此请慎重采用这种方法作为保护会话的惟一方式。备选方法是把会话数据存储在其他位置中,比方说数据库。您仍然必须确保锁定数据库,但是这种方法将解决两个问题:第一,它将把数据放到比共享文件系统更加安全的位置;第二,它将使您的应用程序可以更轻松地跨越多个 Web 服务器,同时共享会话可以跨越多个主机。
要实现自己的会话持久性,请参阅 PHP 中的session_set_save_handler()函数。使用它,您可以将会话信息存储在数据库中,也可以实现一个用于加密和解密所有数据的处理程序。清单 8 提供了实现的函数用法和函数骨架示例。您还可以在参考资料小节中查看如何使用数据库。
清单 8.session_set_save_handler()函数示例 function open($save_path, $session_name){/* custom code */return (true);}function close(){/* custom code */return (true);}function read($id){/* custom code */return (true);}function write($id, $sess_data){/* custom code */return (true);}function destroy($id){/* custom code */return (true);}function gc($maxlifetime){/* custom code */return (true);}session_set_save_handler("open", "close", "read", "write", "destroy", "gc");
针对 XSS 漏洞进行保护 XSS 漏洞代表 2007 年所有归档的 Web 站点的大部分漏洞(请参阅参考资料)。当用户能够把 HTML 代码注入到您的 Web 页面中时,就是出现了 XSS 漏洞。HTML 代码可以在脚本标记中携带 JavaScript 代码,因而只要提取页面就允许运行 JavaScript。清单 9 中的表单可以表示论坛、维基、社会网络或任何可以输入文本的其他站点。
清单 9. 输入文本的表单 <html><head><title>Your chance to input XSS</title></head><body><form id="myFrom" action="showResults.php" method="post"><div><textarea name="myText" rows="4" cols="30"></textarea><br /><input type="submit" value="Delete" name="submit" /></div></form></body></html>
清单 10 演示了允许 XSS 攻击的表单如何输出结果。
清单 10. showResults.php <html><head><title>Results demonstrating XSS</title></head><body><?phpecho("<p>You typed this:</p>");echo("<p>");echo(
编写安全 PHP 应用程序的七个习惯 - 凌众科技
快速业务通道
++++选择通道++++
国内服务器 厦门电信服务器 汕头电信服务器 温州电信服务器 厦门网通服务器 汕头双线服务器 美国服务器 欧洲服务器 美国KT机房服务器 美国FDC机房服务器 香港服务器 新加坡服务器 韩国服务器 台湾服务器 英国服务器 德国服务器 新加坡Qala机房服务器 香港机房服务器 法国服务器 江苏电信服务器 美国TB机房服务器 日本服务器 河北网通服务器 厦门软二服务器 台湾机房服务器 韩国机房服务器 美国ST机房服务器 江西电信服务器 其他机房服务器 菲律宾服务器 日本机房服务器 菲律宾机房服务器
国内大带宽
编写安全 PHP 应用程序的七个习惯
作者 佚名技术
来源 NET编程
浏览
发布时间 2012-05-25
content
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn
为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
POST[''myText'']);echo("</p>");?></body></html>
清单 11 提供了一个基本示例,在该示例中将弹出一个新窗口并打开 Google 的主页。如果您的 Web 应用程序不针对 XSS