仓酷云

标题: PHP教程之PHP平安提防常识 [打印本页]

作者: 深爱那片海 时间: 2015-2-16 00:22
标题: PHP教程之PHP平安提防常识
完成一个功能齐全的动态站点 PHP代码平安和XSS，SQL注入等关于各类网站的平安十分顶用，特别是UGC(User Generated Content)网站，服装论坛和电子商务网站，经常是XSS和SQL注入的重灾区。这里复杂引见一些根基编程要点, 绝对体系平安来讲，php平安提防更多请求编程人员对用户输出的各类参数能更仔细.
php编译过程当中的平安
建议装置Suhosin补钉，必装平安补钉
php.ini平安设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处置
mysql_real_escape_string (良多PHPer仍在依托addslashes避免SQL注入，然而这类体例对中文编码依然是有成绩的。addslashes的成绩在于黑客可以用 0xbf27来取代单引号，GBK编码中0xbf27不是一个正当字符，因而addslashes只是将0xbf5c27，成为一个无效的多字节字符，其中的0xbf5c仍会被看做是单引号，详细见这篇文章)。用mysql_real_escape_string函数也需求指定准确的字符集，不然仍然能够有成绩。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或quoteInto, 这两个办法是依据各类数据库实行不必办法的，不会像mysql_real_escape_string只能用于mysql

用户输出的处置
无需保存HTML标签的可以用以下办法
strip_tags, 删除string中一切html标签
htmlspecialchars，只对”<”,”>”,”;”,”’”字符停止本义
htmlentities，对一切html停止本义
必需保存HTML标签情形下可以思索以下东西：
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数，利用HTTP_POST_FILES[]数组。并经由过程去失落上传目次的PHP注释功效来避免用户上传php剧本。
ZF框架下可以思索利用File_upload模块
Session，Cookie和Form的平安处置
不要依附Cookie停止中心验证，主要信息需求加密, Form Post之前对传输数据停止哈希, 例如你收回去的form元素以下:

<input type="hidden" name="H[name]" value="<?php echo $Oname?>"/> <input type="hidden" name="H[age]" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />
POST回来以后对参数停止验证
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}
PHP平安检测东西(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 玲珑的站点破绽检测东西) (SQL injection/XSS进击反省东西)
安b/利用办法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺点剖析东西)
安b: apt-get install default-jdk
小试一下身手，大概是没问题了，那么交给你个任务，做个留言本吧，这和HELLO WORLD有一比啊!^_^，同是新手面临的第一道关。

作者: 小女巫 时间: 2015-2-16 00:23
个人呢觉得，配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下，还有重启apache。

作者: 只想知道 时间: 2015-2-20 12:04
曾经犯过一个很低级的错误，我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号，结果找了好几个小时的错误，事实是命名的时候是不能用横线 \\\\\\\'-\\\\\\\' 的，应该用的是下划线 \\\\\\\'_\\\\\\\' ;

作者: 仓酷云 时间: 2015-3-4 15:59
说点我烦的低级错误吧，曾经有次插入mysql的时间弄了300年结果老报错，其实mysql的时间是有限制的，大概是到203X年具体的记不清啦，囧。

作者: 冷月葬花魂 时间: 2015-3-7 10:24
环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。

作者: 若相依 时间: 2015-3-14 20:20
要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

作者: 若天明 时间: 2015-3-15 13:37
使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

作者: 蒙在股里 时间: 2015-3-17 21:09
先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。

作者: 金色的骷髅 时间: 2015-3-25 02:39
不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

作者: 透明 时间: 2015-3-27 06:07
这些都是最基本最常用功能，我们这些菜鸟在系统学习后，可以先对这些功能深入研究。

作者: 山那边是海 时间: 2015-3-28 07:21
实践是检验自己会不会的真理。

作者: 谁可相欹 时间: 2015-4-1 18:56
本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。

作者: 海妖 时间: 2015-4-4 08:59
作为一个合格的coder 编码的规范是必须，命名方面我推崇“驼峰法”，另外就是自己写的代码最好要带注释，不然时间长了，就算是自己的代码估计看起来都费事，更不用说别人拉。

作者: 简单生活 时间: 2015-4-10 04:06
不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

作者: 莫相离 时间: 2015-4-11 01:19
使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

作者: 变相怪杰 时间: 2015-4-16 00:09
,熟悉html,能用div+css，还有javascript，优先考虑linux。我在开始学习的时候，就想把这些知识一起学习，我天真的认为同时学习能够互相呼应，因为知识是相通的。

作者: 愤怒的大鸟 时间: 2015-4-18 04:54
开发工具也会慢慢的更专业，每个公司的可能不一样，但是zend studio是个大伙都会用的。

作者: 再见西城 时间: 2015-5-1 19:10
其实也不算什么什么心得，在各位大侠算是小巫见大巫了吧，望大家不要见笑，若其中有错误的地方请各位大虾斧正。

作者: 小魔女 时间: 2015-6-4 18:10
首推的搜索引擎当然是Google大神，其次我比较喜欢百度知道。不过搜出来的结果往往都是大家copy来copy去的，运气的的概率很大。

作者: 小妖女 时间: 2015-6-12 19:29
这些都是最基本最常用功能，我们这些菜鸟在系统学习后，可以先对这些功能深入研究。

欢迎光临仓酷云 (http://ckuyun.com/)