php安全性:如何提升PHP網站安全性的5個技巧

來源:互聯網
上載者:User

技巧1:使用合適的錯誤報表
一般在網站開發過程中,很多web程式員總是忘了製作程式錯誤報表,這是極大的錯誤,因為恰當的錯誤報表不僅僅是最好的調試工具,也是極佳的安全性漏洞偵查工具,這能讓你把網站真正上線前儘可能找出你將會遇到的問題。
當然也有很多方式去啟用錯誤報表。比如在 php.in 設定檔中你可以設定在運行時啟用
啟動錯誤報表
error_reporting(E_ALL);
停用錯誤報表
error_reporting(0);
技巧2:不使用PHP的Weak屬性
有幾個PHP的屬性是需要被設定為OFF的。一般它們都存在於PHP4裡面,而在PHP5中是不推薦使用的。尤其最後在PHP6裡面,這些屬性都被移除了。
註冊全域變數
當 register_globals 被設定為ON時,就相當於設定Environment,GET,POST,COOKIE或者Server變數都定義為全域變數。此時你根本不需要去寫 $_POST['username']來擷取表單變數'username',只需要'$username'就能擷取此變數了。
那麼你肯定在想既然設定 register_globals 為 ON 有這麼方便的好處,那為什麼不要使用呢?因為如果你這樣做將會給您的網站帶來很多安全性的問題,而且也可能與局部變數名稱相衝突。
比如先看看下面的代碼:
if( !empty( $_POST['website'] ) && $_POST['website'] == ‘http://www.cxybl.com')
{
$access = true;
}
如果運行期間, register_globals 被設定為ON,那麼使用者只需要傳輸 access=1 在一句查詢字串中就能擷取到PHP指令碼啟動並執行任何東西了。
在.htaccess中停用全域變數
php_flag register_globals 0
在php.ini中停用全域變數
register_globals = Off
停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes
在.htaccess檔案中設定
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設定
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧3:驗證使用者輸入
你當然也可以驗證使用者的輸入,首先必須知道你期望使用者輸入的資料類型。這樣就能在瀏覽器端做好防禦使用者惡意攻擊你的準備。
技巧4:避免使用者進行交叉網站指令碼攻擊
在Web網站建設中,都是簡單地接受使用者輸入表單然後反饋結果。在接受使用者輸入時,如果允許HTML格式輸入將是非常危險的事情,因為這也就允許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞,cookie資料都可能被盜取進而導致使用者的賬戶被盜取。
技巧5:預防SQL注入攻擊
PHP基本沒有提供任何工具來保護你的資料庫,所以當你串連資料庫時,你可以使用下面這個mysqli_real_escape_string 函數。
$username = mysqli_real_escape_string( $GET['username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”); 本文連結http://www.cxybl.com/html/wlbc/Php/20130601/38187.html

相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。