返回
如何让自己的php程序更安全

如何让自己的php程序更安全

ID:30416326

大小:87.34 KB

页数:15页

时间:2018-12-29

如何让自己的php程序更安全_第1页
如何让自己的php程序更安全_第2页
如何让自己的php程序更安全_第3页
如何让自己的php程序更安全_第4页
如何让自己的php程序更安全_第5页
资源描述:

《如何让自己的php程序更安全》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、如何让自己的php程序更安全如何让自己的php程序更安全2010-06-2811:33*不要为SQL语句使用PDO参数传值,以防止SQLinjection.*务必使用htmlspecialchars/htmlentities和/或者strip_tags转义html和Javascrīpt来防止XSS(交叉站点脚本)攻击.*务必使用sessions和安全套接字来防止session被劫持,采用md5校验和来验证sessionids.在session里存储一个特殊的令牌md5(uniqueid(rand(),time))放到一个隐含的表单提交项里:eg.$_SESSION[

2、"token"]===$FORM["token"].*务必使用escapeshellarg/escapeshellcmd调用外部命令防止命令行注入*务必从进入的http头删除分行符以防止http头提早终止Doremovelinebreaksfromincomingheaderstopreventearlyheaderterminationandinjection.FixedPHP5.1*采用md5校验和来序列化参数值和sessionid来验证一致性*使用===来验证输入值以保证类型一致*设置以下参数来提高安全性:oini_set("display_errors",f

3、alse);oini_set("log_errors",true);oini_set("error_log","path/to/php.log");oini_set("session.save_path","path/above/www");or"mm"sessionmoduleorstoreinasqllitedbophp.iniexpose_php=offophp.iniregister_globals=offoApacheservertokens=prod*在任何用户特权提升的应用中,采用session_regenerate*在商务交易中采用安全套接字php安

4、全开发安全应用时,还有很多方法可以使用。下面提到的所有方法同样是我认为比较重要的。某些方法是抽象的,但每一个都有实例说明如何应用及其目的。平衡风险与可用性用户操作的友好性与安全措施是一对矛盾,在提高安全性的同时,通常会降低可用性。在你为不合逻辑的使用者写代码时,必须要考虑到符合逻辑的正常使用者。要达到适当的平衡的确很难,但是你必须去做好它,没有人能替代你,因为这是你的软件。尽量使安全措施对用户透明,使他们感受不到它的存在。如果实在不可能,就尽量采用用户比较常见和熟悉的方式来进行。例如,在用户访问受控信息或服务前让他们输入用户名和密码就是一种比较好的方式。当你怀疑可能

5、有非法操作时,必须意识到你可能会搞借。例如,在用户操作时如果系统对用户身份有疑问时,通常用让用户再次录入密码。这对于合法用户来说只是稍有不便,而对于攻击者来说则是铜墙铁壁。从技术上来说,这与提示用户进行重新登录基本是一样的,但是在用户感受上,则有天壤之别。没有必要将用户踢出系统并指责他们是所谓的攻击者。当你犯错时,这些流程会极大的降低系统的可用性,而错误是难免的。在本书中,我着重介绍透明和常用的安全措施,同时我建议大家对疑似攻击行为做出小心和明智的反应。跟踪数据作为一个有安全意识的开发者,最重要的一件事就是随时跟踪数据。不只是要知道它是什么和它在哪里,还要知道它从哪

6、里来,要到哪里去。有时候要做到这些是困难的,特别是当你对WEB的运做原理没有深入理解时。这也就是为什么尽管有些开发者在其它开发环境中很有经验,但他对WEB不是很有经验时,经常会犯错并制造安全漏洞。大多数人在读取EMAIL时,一般不会被题为"Re:Hello"之类的垃圾邮件所欺骗,因为他们知道,这个看起来像回复的主题是能被伪造的。因此,这封邮件不一定是对前一封主题为"Hello."的邮件的回复。简而言之,人们知道不能对这个主题不能太信任。但是很少有人意识到发件人地址也能被伪造,他们错误地认为它能可靠地显示这个EMAIL的来源。Web也非常类似,我想教给大家的其中一点是

7、如何区分可信的和不可信的数据。做到这一点常常是不容易的,盲目的猜测并不是办法。PHP通过超级全局数组如$_GET,$_POST,及$_COOKIE清楚地表示了用户数据的来源。一个严格的命名体系能保证你在程序代码的任何部分知道所有数据的来源,这也是我一直所示范和强调的。知道数据在哪里进入你的程序是极为重要的,同时知道数据在哪里离开你的程序也很重要。例如,当你使用echo指令时,你是在向客户端发送数据;当你使用mysql_query时,你是在向MySQL数据库发送数据(尽管你的目的可能是取数据)。在我审核PHP代码是否有安全漏洞时,我主要检查代码中与外部系统交互的部

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。