24H免费课程咨询  TEL:13401595960   QQ:1870218756  微信:13401595960(李老师)

东方博宜

网站首页 > 软件开发资讯 > PHP开发

【常州PHP开发培训班】PHP开发安全问题总结

2018-04-24 17:39:41 东方博宜 阅读

安全保护一般性要点


不相信表单

对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入


不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理


关闭全局变量

在php.ini文件中进行以下配置:


register_globals = Off


如果这个配置选项打开之后,会出现很大的安全隐患。例如有一个process.php的脚本文件,会将接收到的数据插入到数据库,接收用户输入数据的表单可能如下:


<input name="username" type="text" size="15" maxlength="64">


这样,当提交数据到process.php之后,php会注册一个$username变量,将这个变量数据提交到process.php,同时对于任何POST或GET请求参数,都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题:


<?php

// Define $authorized = true only if user is authenticated

if (authenticated_user()) {

$authorized = true;

}

?>


此处,假设authenticated_user函数就是判断$authorized变量的值,如果开启了register_globals配置,那么任何用户都可以发送一个请求,来设置$authorized变量的值为任意值从而就能绕过这个验证。

所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取,包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等,其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量,默认的顺序是$_COOKIE、$_POST、$_GET。


推荐的安全配置选项

error_reporting设置为Off:不要暴露错误信息给用户,开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用:system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ,这样可以让session信息有存储权限,同时设置单独的网站根目录

expose_php设置为Off

allow_url_fopen设置为Off

allow_url_include设置为Off


SQL注入攻击

对于操作数据库的SQL语句,需要特别注意安全性,因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子:


$sql = "select * from pinfo where product = '$product'";


此时如果用户输入的$product参数为:

39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的样子:


select product from pinfo where product = '39'; DROP pinfo; SELECT 'FOO'


这样就会变成三条SQL语句,会造成pinfo表被删除,这样会造成严重的后果。

这个问题可以简单的使用PHP的内置函数解决:


$sql = 'Select * from pinfo where product = '"'

mysql_real_escape_string($product) . '"';


防止SQL注入攻击需要做好两件事:

对输入的参数总是进行类型验证

对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义

但是,这里根据开发经验,不要开启php的Magic Quotes,这个特性在php6中已经废除,总是自己在需要的时候进行转义。

常州东方博宜是一家专注IT,互联网,电脑方面的顶尖培训机构,欢迎社会及院校有志互联网营销,搜索引擎营销的人士,来东方博宜报名学习,互相交流。

常州东方博宜地址:常州天宁区延陵西路2号工人文化宫5号楼

 2.新北区太湖东路9-4号常州创意园E12

 


Powered by 东方博宜教育咨询江苏有限公司  ©2008-2018 www.czos.cn