PHP教程之PHP平安提防常识

完成一个功能齐全的动态站点   PHP代码平安和XSS，SQL注入等关于各类网站的平安十分顶用，特别是UGC(User Generated Content)网站，服装论坛和电子商务网站，经常是XSS和SQL注入的重灾区。这里复杂引见一些根基编程要点, 绝对体系平安来讲，php平安提防更多请求编程人员对用户输出的各类参数能更仔细.
php编译过程当中的平安
建议装置Suhosin补钉，必装平安补钉
php.ini平安设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处置
mysql_real_escape_string (良多PHPer仍在依托addslashes避免SQL注入，然而这类体例对中文编码依然是有成绩的。addslashes的成绩在于黑客可以用 0xbf27来取代单引号，GBK编码中0xbf27不是一个正当字符，因而addslashes只是将0xbf5c27，成为一个无效的多字节字符，其 中的0xbf5c仍会被看做是单引号，详细见这篇文章)。用mysql_real_escape_string函数也需求指定准确的字符集，不然仍然能够 有成绩。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或quoteInto, 这两个办法是依据各类数据库实行不必办法的，不会像mysql_real_escape_string只能用于mysql

用户输出的处置
无需保存HTML标签的可以用以下办法
strip_tags, 删除string中一切html标签
htmlspecialchars，只对”<”,”>”,”;”,”’”字符停止本义
htmlentities，对一切html停止本义
必需保存HTML标签情形下可以思索以下东西：
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数，利用HTTP_POST_FILES[]数组。并经由过程去失落上传目次的PHP注释功效来避免用户上传php剧本。
ZF框架下可以思索利用File_upload模块
Session，Cookie和Form的平安处置
不要依附Cookie停止中心验证，主要信息需求加密, Form Post之前对传输数据停止哈希, 例如你收回去的form元素以下:

     <input type="hidden" name="H[name]" value="<?php echo $Oname?>"/> <input type="hidden" name="H[age]" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />
POST回来以后对参数停止验证
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}
PHP平安检测东西(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 玲珑的站点破绽检测东西) (SQL injection/XSS进击反省东西)
安b/利用办法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺点剖析东西)
安b: apt-get install default-jdk
小试一下身手，大概是没问题了，那么交给你个任务，做个留言本吧，这和HELLO WORLD有一比啊!^_^，同是新手面临的第一道关。

个人呢觉得，配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下，还有重启apache。

曾经犯过一个很低级的错误，我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号，结果找了好几个小时的错误，事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的，应该用的是下划线  \\\\\\\'_\\\\\\\' ;

仓酷云

说点我烦的低级错误吧，曾经有次插入mysql的时间 弄了300年结果老报错，其实mysql的时间是有限制的，大概是到203X年  具体的记不清啦，囧。

环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。

要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。

不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

这些都是最基本最常用功能，我们这些菜鸟在系统学习后，可以先对这些功能深入研究。

实践是检验自己会不会的真理。

本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。

作为一个合格的coder 编码的规范是必须，命名方面我推崇“驼峰法”，另外就是自己写的代码最好要带注释，不然时间长了，就算是自己的代码估计看起来都费事，更不用说别人拉。

不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

,熟悉html,能用div+css，还有javascript，优先考虑linux。我在开始学习的时候，就想把这些知识一起学习，我天真的认为同时学习能够互相呼应，因为知识是相通的。

开发工具也会慢慢的更专业，每个公司的可能不一样，但是zend studio是个大伙都会用的。

其实也不算什么什么心得，在各位大侠算是小巫见大巫了吧，望大家不要见笑，若其中有错误的地方请各位大虾斧正。

首推的搜索引擎当然是Google大神，其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的，运气的的概率很大。

这些都是最基本最常用功能，我们这些菜鸟在系统学习后，可以先对这些功能深入研究。