建立高安全性PHP網站的幾個實用要點

　　大家都知道PHP已經是當前最流行的Web應用程式設計語言了。但是也與其他指令碼語言一樣，PHP也有幾個很危險的安全性漏洞。所以在這篇教學文章中，我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。

　　技巧1：使用合適的錯誤報表

　　一般在開發過程中，很多程式員總是忘了製作程式錯誤報表，這是極大的錯誤，因為恰當的錯誤報表不僅僅是最好的調試工具，也是極佳的安全性漏洞偵查工具，這能讓你把應用真正上線前儘可能找出你將會遇到的問題。

　　當然也有很多方式去啟用錯誤報表。比如在 php.in 設定檔中你可以設定在運行時啟用

　　啟動錯誤報表

　　error_reporting(E_ALL);

　　停用錯誤報表

　　error_reporting(0);

　　技巧2：不使用PHP的Weak屬性 有幾個PHP的屬性是需要被設定為OFF的。一般它們都存在於PHP4裡面，而在PHP5中是不推薦使用的。尤其最後在PHP6裡面，這些屬性都被移除了。

　　註冊全域變數

　　當 register_globals 被設定為ON時，就相當於設定Environment，GET,POST,COOKIE或者Server變數都定義為全域變數。此時你根本不需要去寫 $_POST['username']來擷取表單變數'username'，只需要'$username'就能擷取此變數了。

　　那麼你肯定在想既然設定 register_globals 為 ON 有這麼方便的好處，那為什麼不要使用呢?因為如果你這樣做將會帶來很多安全性的問題，而且也可能與局部變數名稱相衝突。

　　比如先看看下面的代碼：

　　if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST['password'] ) && $_POST['password'] == “pass123″ )

　　{

　　$access = true;

　　}

　　如果運行期間, register_globals 被設定為ON，那麼使用者只需要傳輸 access=1 在一句查詢字串中就能擷取到PHP指令碼啟動並執行任何東西了。

　　在.htaccess中停用全域變數

　　php_flag register_globals 0

　　在php.ini中停用全域變數

　　register_globals = Off

　　停用類似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes

　　在.htaccess檔案中設定

　　php_flag magic_quotes_gpc 0

　　php_flag magic_quotes_runtime 0

　　在php.ini中設定

　　magic_quotes_gpc = Off

　　magic_quotes_runtime = Off

　　magic_quotes_sybase = Off

　　技巧3：驗證使用者輸入 你當然也可以驗證使用者的輸入，首先必須知道你期望使用者輸入的資料類型。這樣就能在瀏覽器端做好防禦使用者惡意攻擊你的準備。

　　技巧4：避免使用者進行交叉網站指令碼攻擊 在Web應用中，都是簡單地接受使用者輸入表單然後反饋結果。在接受使用者輸入時，如果允許HTML格式輸入將是非常危險的事情，因為這也就允許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞，cookie資料都可能被盜取進而導致使用者的賬戶被盜取。

　　技巧5：預防SQL注入攻擊 PHP基本沒有提供任何工具來保護你的資料庫，所以當你串連資料庫時，你可以使用下面這個mysqli_real_escape_string 函數。

　　$username = mysqli_real_escape_string( $GET['username'] );

　　mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);

　　好了，在這篇簡短的文章中，我們闡述了幾個開發過程中不能忽視的PHP安全性問題。但是最終是否使用，如何使用還是開發人員來決定的。希望這篇文章能協助到你們。

　　文章出自：phpzag.com