PHP网页编程之编写PHP的平安战略

讲了这么多，无非是想说：学习PHP不仅要掌握方法，更多的是付出汗水，我不希望看到中途放弃的人，相信自己，相信自己的选择，更要相信自己的能力，如果自己想放弃，暴力一点的话，就自己抽自己一个嘴巴。平安|战略   PHP最后是被称作Personal Home Page，后来跟着PHP成为一种十分盛行的剧本言语，称号也随之改动了，叫做Professional HyperText PreProcessor。以PHP4.2为例撑持它的WEB办事器有：Apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。

PHP是一种功效壮大的言语息争释器，不管是作为模块体例包括到web办事器里装置的仍是作为独自的CGI法式法式装置的，都能会见文件、履行号令或在办事器上翻开链接。而这些特征都使得PHP运转时带来平安成绩。固然PH P是特地设计成一种比用Perl或C言语所编写的CGI法式要平安的言语，但准确利用编译时和运转中的一些设置装备摆设选项和得当的使用编码将会包管其运转的平安性。

1、平安从入手下手编译PHP入手下手。

在编译PHP之前，起首确保操作体系的版本是最新的，需要的补钉法式必需装置过。别的利用编译的PHP也应该是最新的版本，关于PHP的平安破绽也常有发明，请利用最新版本，假如已装置过PHP请晋级为最新版本：4.2.3

相干链接：http://security.e-matters.de/advisories/012002.html

装置编译PHP过程当中要注重的3个成绩：

1、只允许CGI文件从特定的目次下履行：起首把处置CGI剧本的默许句柄删除，然后在要履行CGI剧本的目次在http.conf 文件中到场ScriptAlias指令。

#Addhadler cgi-script .cgi


ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

<Directory "/usr/local/apache/cgi-bin'>

AllowOverride None

Options None

Order allow,deny

Allow from all

</Directory>


<Directory "/home/*/public_html/cgi-bin">

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>




SriptAlias的第一个参数指明在Web中的可用绝对途径，第二个参数指明剧本放在办事器的目次。应当对每一个目次

别号都用Directory，如许可以使得除体系办理员以外的人不晓得Web办事器上CGI剧本的清单。

Directory答应用户创立本人的CGI剧本。也可用SriptAliasMatch，但Directory更轻易利用。 答应用户创立本人

CGI剧本能够会招致平安成绩，你能够不但愿用户创立本人的CGI。 Apache默许设置装备摆设是正文失落cgi?script的处置句柄，但有／cgi-bin目次利用SriptAlias和Directory指令。 你也可制止CGI履行，但仍答应履行PHP剧本。

2．把PHP解析器放在web目次外

把PHP解析器放在Web目次树外长短常主要的做法。如许可以避免web办事器对PHP的解析器的滥用。出格是

不要把PHP解析器放在cgi－bin或答应履行CGI法式的目次下。但是，利用Action解析剧本是不成能的，由于用Action指令时，PHP解析器大多半要放在可以履行CGI的目次下只要当PHP剧本作为CGI法式履行时，才干把PHP解析器放在Web目次树以外。

假如但愿PHP剧本作为CGI法式履行(这们可以把PHP解析器放在Web目次树以外)，可以如许：

( 1)一切的PHP剧本必需位于能履行CGI法式的目次里。

( 2)剧本必需是可履行的(仅在UNIX/Linux机械里)。

(3)剧本必需在文件头包含PHP解析器的途径。

你可用上面号令使PHP剧本为可履行：

#chmod +x test.php4


如许使在以后目次下的文件名为test．PhP4的剧本变成可履行。 上面是一个能作为CGI法式运转的PHP脚的小例子。

#!/usr/local/bin/php

echo "This is a my small cgi program”


3. 按Apache模块体例装置:

当将PHP作为Apache模块利用时，它将承继Apche的用户权限(普通情形下用户为“nobody”)。这一点关于平安性和

验证有很多影响。例如，利用PHP会见数据库，除非数据库撑持内建的会见掌握，将不能不设置数据库关于用户“nobody”

的可会见权限。这将意味着歹意的剧本在没有会见用户名和暗码，也能会见并修正数据库。经由过程Apache验证来回护数据不被表露，或也可以使用LDAP、．htaccess文件等设计本人的会见掌握模子，并在PHP剧本中将此代码作为个中局部引入。 凡是，一旦平安性创立，此处PHP用户(此情况即Apache用户)就风险大大下降了，会发明PHP护如今已被封禁了将能够的染毒文件写入用户目次的才能。 此处最常犯的平安性毛病是付与Apache办事器根(root)权限。 将Apache用户权限提拔到根权限是极端风险的。能够会危及全部体系，因而要当心利用sudo，chroot平安隐患大的号令等。除非你对平安有相对的把握，不然不要让其以ROOT权限运转。


2、让PHP的利用更平安。

1、以平安形式运转PHP

以平安形式运转PHP是使PHP剧本平安利用的好办法，出格是在答应用户利用本人开辟的PHP剧本时。利用平安形式会使PHP在运转函数时反省是不是存在平安成绩。 include、readfile、fopen、file、unlink、rmdir等等：被包括的文件或该文件地点目次的一切者必需是正在运转的剧本的一切者； Exec、System、Passthm等等：要履行的法式必需位于特定的目次(默许为／usr/local／php/bin)。编译PHP时可以用?with-exe-dir选项设定这个值。

Mysql?Connect：这个函数用可选的用户名毗连MySQL数据库。在平安形式下，用户名必需是以后被履行的剧本的一切者，或运转httpd的用户名(凡是是nobody)。

HTTP Authentication：包括HTTP验证代码剧本一切者的用户ID(数字型)会主动加到验证域。如许可以避免有人经由过程抓取暗码的法式来棍骗统一个办事器上的HTTP验证剧本。


2、利用 用户辨认和验证

有时需求独一地确认一个用户。用户凡是由恳求和呼应体系确认。用户名／口令组合就是这类体系的一个很好的例子，好比体系请求给出A1i的口令，呼应的是Ali的口令。如许验证是由于只要Ali才晓得这个口令。

（1）办事器端用户验征

这是用于办事端上对PHP法式请求最小的验证办法。只需让Apache来办理对用户的验证就好了。

AuthName "Secret page" # The realm

AuthType Basic


# The password file has been placed outside the web tree

AuthUserFile /home/car2002/website.pw


<LIMIT GET POST>

require valid-user

</LIMIT>



你需求把上述文件(文件名为.htaccess)放在需求回护的中央。用Apache的htpasswd法式，可以创立包括用户名和口令组合的文件。把这个文件放在Web目次树以外，只让该文件的具有者检查和修正这个文件。固然，Web办事器必需可以读取这个文件。

假如想读取被回护的目次，Web办事器请求阅读器供应用户名和暗码。阅读器弹出对话框，用户可以输出他们的用户名和暗码。假如用户名和暗码与口令文件中符合合，就答应用户读取被回护的页面；反之，将失掉毛病页面，告知用户没有经由过程验证。被回护的域会显示出来以便用户晓得输出谁人用户名和暗码。

（2）在PHP中停止用户辨认和验证

和在Apache办事器端停止用户辨认和验证比拟，在PHP停止用户辨认和验证有以下长处：

A、可刊出。

B、可生效。如用户登录后40分钟没有阅读你的网站，你可强迫他们从头经由过程验证。

C、可定制。

D、可基于数据库。你可以用保留在各类各样的数据库里的数据来验证用户，而且纪录会见者会见网站的具体日记。

E、可用于每一个页面。你可在每一个页面上决意是不是需求验证。

F、你也能够使阅读器弹出对话框。上面的例子显示了如何从，MySQL数据库中检索用名和口令：让用户填人用户名和口令。

<?

if(!isset($PHP_AUTH_USER)) {

Header("WWW-authenticate: basic realm="restricted area"");

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password... ";

exit;

} else {

mysql_select_db("users") ;

$user_id = strtolower($PHP^AUTH_USER);

$result = mysql_query("SELECT password FROM users " .

"WHERE username = '$username'") ;

$row = mysql_fetch_array($result) ;

if ($PHP_AUTH_PW != $row["password"]) {

Header( "WWW-authenticate: basic realm="restricted area"

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password... " ;

exit;

}

}

?>

Only users with a working username/password combination can see this




(3) 检测IP地址

常人们广泛以为一个IP地址独一地肯定一个会见者。但实践上并非如许的。代办署理办事器可用不异的IP地址发送分歧用户的恳求。别的IP地址的盗用也广泛存在。检测 IP地址有它们的用途，但相当无限。例如你是一个服装论坛版主，你发明某个用户粘贴一些不安康的、守法的内容。你可以找到他的IP地址，把从这个IP连出去的用户逐出服装论坛。利用上面一行号令将会失掉某个特定恳求的源IP地址：

# ip = $REMOTE_ADDR


4、利用PHP加密手艺

在PHP中，加密手艺次要用来加密信息、发生校验和和摘要。利用加密手艺可大大地加强平安功能。 这里只讲述利用加密手艺的一些概念。假如你想进一步懂得，应参考一些好的加密手艺材料。加密手艺的尺度是Bmce Schneier的使用加密手艺，十分值得一读。他的网站(www.counterpane.com/labs.html )是在互联网上查找加密手艺材料的好出发点。数据加密是一个十分庞杂的话题，这里只复杂引见一下。

PHP中大多半的加密函数由mcrypt库和mhash库供应。你需求在体系中装上这两个库，在编译时加上--ith-mcrypt和--ith-hash选项。PHP从 3．013版本入手下手撑持mcrypt库。

5、利用具有SSL手艺

SSI是英文Server Side Includes的缩写。利用具有SSL(平安套接字协定层)功效的web办事器，可以不必改动一行代码而进步网站的平安功能。SSI利用加密办法来回护web办事器和阅读器之间的信息流。SSL不但用于加密在互联网上传递的数据流，并且还供应两边身份验证。如许，你就能够平安地在线购物而不用忧虑他人矢随你的信誉卡的信息。这类特征使得SSL合用于那些互换主要信息的中央，像电子商务和基于Web的邮件。

SSL利用公共密钥加密手艺，办事器在毗连停止时给客户端发送公用密钥用来加密信息，而加密的信息只要办事器用它本人持有的公用密钥才干解开。客户端用公用密钥加密数据，而且发送给办事端本人的密钥，以独一肯定本人，避免在体系两头之间有人假充办事端或客户端停止棍骗。

加密的HTTP毗连用443端标语取代80端标语，以区分于通俗的不加密的HTTP。客户端利用加密HTTP毗连时会主动利用443端口而不是80端口。这使得办事端更轻易作出响应的呼应。

在Apache办事器下，可以经由过程直接编纂办事器设置装备摆设文件或在需求利用SSI的目次中创立.htaccess文件来启动SSI。登录到办事器，找到设置装备摆设文件的寄存目次，利用文字编纂器翻开文件srm.conf，找到以下几行：

# If you want to use server side includes, or CGI outside
# ScriptAliased directories, uncomment the following lines.
#AddType text/x-server-parsed-html .shtml
#AddType application/x-httpd-CGI .CGI


将以AddType开首的两行而且去失落每行最后面的"#"符号便可。保留所做的修正，然后再翻开文件access.conf。

　　　　＜Directory /usr/local/etc/httpd/htdocs＞
　　　　# This may also be "None", "All", or any combination of "Indexes",
　　　　# "Includes", or "FollowSymLinks"
　　　　Options Indexes FollowSymLinks
　　　　＜/Directory＞

　　　　将个中的Options Indexes FollowSymLinks改成:Options Indexes FollowSymLinks Includes 便可。



6、利用Apache的suEXEC机制

凡是CGI法式或PHP剧本只能以启动web办事器的用户权限来运转(凡是为www或nobody)，如许会呈现的情形之一是可以读写和修正由另外一个用户的CGI和PHP剧本生成的文件(如剧本和暗码文件)。也能够利用户可以毗连到其他用户的数据库，但这与数据库的设置装备摆设有关。如MySQL的默许设置装备摆设即是答应的，但可以经由过程强迫数据库停止口令验证来填补此缺乏。PHP的safe?mode削减了这些成绩，但一切的剧本依然以不异的用户标识运转。Apache可以处理这个成绩。suEXEC(在履行前改动用户标识)是一个小东西，答应以恣意用户标识运转CGI法式，固然也包含PHP剧本，但根用户除外。并且可以和UseDir和VirtualHost项一同利用。

所以suEXEC也叫CGI封装。这意味着在剧本运转之前它需求经由过程一系列划定的平安反省。随Apache2。0版宣布的suEXEC有26个反省点。suEXEC能处理一些平安成绩，同时答应用户开辟和更平安地履行本人的剧本。然而suEXEC会下降办事功能，由于suEXEC只能运转在CGI版本的PHP上，而CGI版本比模块版本运转速度慢。缘由是模块版本利用了线程，而利用CGI版本的是历程。在分歧线程之间的情况转换和会见公用的存储区域明显要比在分歧的历程之间要快很多。利用suEXEC的别的一个成绩是它增添了编写和利用PHP剧本的难度。你要确保剧本能经由过程suEXEC的查验。不然，你的剧本不会被履行。咱们建议在你对平安功能请求对照高时利用suEXEC ,为此你还要以就义速度为价值。

7、创立平安的PHP剧本

有良多编程技能使PHP剧本更平安地运转。个中最主要的一条是利用一些平安知识。运转PHP比运转CGI剧本更平安，但它依然有很多呈现毛病的中央。转换到平安运转形式可以限制失足所发生的了局。假如你的PHP剧本中有毛病，能够会被人找到而且使用它来损坏站点乃至数据库。所以常常备份也是需要的。


（1）平安设置软件

基于Web的使用法式，如在线目次，凡是都在无人亲切监督的情形下运转。假如产生毛病时，你不成能当即接纳举动。凡是会见者最早注重到所产生的成绩，你应当使他们很轻易地呈报所产生的成绩。更进一步，可以由组成这个网站的剧本来跟踪这些成绩。例如，你的会见者能够做一些你想不到的工作。也能够你关于主要函数所前往值没有反省，剧本能够会以不成意料的体例运转。

写出加倍平安的法式，就能够防止这些成绩。例如你应当反省数据库函数的前往值，假如数据库溃散，显示给用户的应当是失足的信息页面而不是满屏幕的毛病。你乃至可让剧本在产生严重成绩，如数据库溃散、硬盘空间已满的时分主动告诉你。你也应当反省从用户传来的一切数据。明显后者更主要。 假如你的法式可以敷衍各类毛病，那末你的法式不但加倍牢靠，并且可以花更少的工夫来保护。这些工夫可大大填补你开辟法式时所花的额定工夫。


（2）存储和互换敏感信息

明显，你应尽可能防止在互联网上以GET、POST、cookie或URL编码的模式传递敏感信息，如许使信息很轻易被盗取。利用撑持SSL的web办事器可以做到这一点，由于它加密站点和会见者阅读器之间一切的信息流。

假如你没有撑持SSL的Web办事器，那末你需求其他的举措。好比没有需要老是发送数据到阅读器；把数据保留在数据库中，只向阅读器发送关头字，如许也很轻易查找到所需求的数据；并以加密的模式发送一切的数据等等。完成这类功效的最复杂的举措是利用Session。 PHP4撑持当地化的Session功效，PHP3则要利用PHPMB库。

HTTP 协定是一种无形态协定，它不担任为好毗连的形态信息，因而没法跟踪客户真个各类信息，Session的呈现改动这一情况。当用户阅读一个撑持Session功效的CGI剧本时，在他分开这个网页前可以将用户信息保留在赞同Session ID之下，也就是可以在分歧的网页之间偕同存取用户信息。

假如不利用PHP的平安形式或在suEXEC下以CGI体例运转PHP，那末监督你的文件的内容就不成能完成。此时独一避免他人读取数据的办法是尽快把数据保留到数据库中。


（3）反省用户输出

Per1言语有个特征叫污点检测(taint checking)。当污点检测失效时，即便没有产生严重毛病，你也不克不及运转含有可疑变量的函数。一个变量，当它的值是用户供应数据的一局部或全体时就酿成可疑的了，由于这些数据被以为是不平安的。如许可进步体系安性。 PHP没有这个特征，但PHP有escapeshellcmd函数，可以到达一样的后果。另外一个不让用户滥用剧本的办法是只答应利用经由严厉反省的输出。


（4）利用最新的PHP版本 4.2.xx

在很长一段工夫内，PHP作为办事器端剧本言语的最大卖点之一就是会为从表单提交的值主动创立一个全局变量。在PHP 4.1中，PHP的制造者们保举了一个会见提交数据的替换手腕。在PHP 4.2中，他们作废了那种老的做法。在PHP 4.1中，添加了一组特别数据以会见内部数据。这些数组可以在任何局限内挪用，这使得内部数据的会见更便利。在PHP 4.2中，register_globals被默许封闭以勉励利用这些数组以免无经历的开辟者编写出不平安的PHP代码。作出如许的变更是出于平安性的思索的。


3、总结

完全平安的体系从实际上讲不成能，因而咱们所指平安性只是在价值与可用性间作均衡。若是用户提交的每个变量都请求有生物学验证(如指纹判定)，则将取得极高程度的牢靠性。然而也会形成用户填写一个表格就要几非常钟。这时候用户就会接纳绕过平安验证的办法。一个体系的牢靠性只能由全部链条中最亏弱的环节来决意。在任何平安体系外面，人是最懦弱的毗连，单单手艺自己不克不及让体系平安。

PHP 还处在不休开展的过程当中，你需求常常存眷他的平安信息。这里笔者保举你常常存眷平安核心(www.security-focus.com )和Packetstorm(www.packetstorm.com )。

  讲了这么多，无非是想说：学习PHP不仅要掌握方法，更多的是付出汗水，我不希望看到中途放弃的人，相信自己，相信自己的选择，更要相信自己的能力，如果自己想放弃，暴力一点的话，就自己抽自己一个嘴巴。

作为一个合格的coder 编码的规范是必须，命名方面我推崇“驼峰法”，另外就是自己写的代码最好要带注释，不然时间长了，就算是自己的代码估计看起来都费事，更不用说别人拉。

基础有没有对学习php没有太大区别，关键是兴趣。

多看优秀程序员编写的代码，仔细理解他们解决问题的方法，对自身有很大的帮助。

本文当是我的笔记啦，遇到的问题随时填充

因为blog这样的可以让你接触更多要学的知识，可以接触用到类，模板，js ，ajax

首先我是坚决反对新手上来就用框架的，因为对底层的东西一点都不了解，造成知识上的真空，会对以后的发展不利。我的观点上手了解下框架就好，代码还是手写。当然啦如果是位别的编程语言的高手的话，这个就另当别论啦。

曾经犯过一个很低级的错误，我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号，结果找了好几个小时的错误，事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的，应该用的是下划线  \\\\\\\'_\\\\\\\' ;

环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。

基础有没有对学习php没有太大区别，关键是兴趣。

对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

其实也不算什么什么心得，在各位大侠算是小巫见大巫了吧，望大家不要见笑，若其中有错误的地方请各位大虾斧正。

个人呢觉得，配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下，还有重启apache。

兴趣是最好的老师，百度是最好的词典。

你很难利用原理去编写自己的代码。对于php来说，系统的学习我认为还是很重要的，当你有一定理解后，你可你针对某种效果研究，我想那时你不会只是复制代码的水平了。

小鸟是第一次发帖（我习惯潜水的(*^__^*) 嘻嘻……），有错误之处还请大家批评指正，另外，前些日子听人说有高手能用php写驱动程序，真是学无止境，人外有人，天外有天。

真正的方向了，如果将来要去开发团队，你一定要学好smarty ,phplib这样的模板引擎，

为了以后维护的方便最好是代码上都加上注释，“予人方便，自己方便”。此外开发文档什么的最好都弄齐全。我觉得这是程序员必备的素质。虽然会消耗点很多的时间。但是确实是非常有必要的。

对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用，而且里面的资料也比较有用，最好还是买个会员比较好，毕竟那些也是别人的工作成果。

实践是检验自己会不会的真理。