仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2439|回复: 19
打印 上一主题 下一主题

[学习教程] PHP教程之PHP平安提防常识

[复制链接]
深爱那片海 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-2-16 00:22:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
完成一个功能齐全的动态站点   PHP代码平安和XSS,SQL注入等关于各类网站的平安十分顶用,特别是UGC(User Generated Content)网站,服装论坛和电子商务网站,经常是XSS和SQL注入的重灾区。这里复杂引见一些根基编程要点, 绝对体系平安来讲,php平安提防更多请求编程人员对用户输出的各类参数能更仔细.
php编译过程当中的平安
建议装置Suhosin补钉,必装平安补钉
php.ini平安设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处置
mysql_real_escape_string (良多PHPer仍在依托addslashes避免SQL注入,然而这类体例对中文编码依然是有成绩的。addslashes的成绩在于黑客可以用 0xbf27来取代单引号,GBK编码中0xbf27不是一个正当字符,因而addslashes只是将0xbf5c27,成为一个无效的多字节字符,其 中的0xbf5c仍会被看做是单引号,详细见这篇文章)。用mysql_real_escape_string函数也需求指定准确的字符集,不然仍然能够 有成绩。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或quoteInto, 这两个办法是依据各类数据库实行不必办法的,不会像mysql_real_escape_string只能用于mysql

用户输出的处置
无需保存HTML标签的可以用以下办法
strip_tags, 删除string中一切html标签
htmlspecialchars,只对”<”,”>”,”;”,”’”字符停止本义
htmlentities,对一切html停止本义
必需保存HTML标签情形下可以思索以下东西:
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数,利用HTTP_POST_FILES[]数组。并经由过程去失落上传目次的PHP注释功效来避免用户上传php剧本。
ZF框架下可以思索利用File_upload模块
Session,Cookie和Form的平安处置
不要依附Cookie停止中心验证,主要信息需求加密, Form Post之前对传输数据停止哈希, 例如你收回去的form元素以下:

     <input type="hidden" name="H[name]" value="<?php echo $Oname?>"/> <input type="hidden" name="H[age]" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />
POST回来以后对参数停止验证
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}
PHP平安检测东西(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 玲珑的站点破绽检测东西) (SQL injection/XSS进击反省东西)
安b/利用办法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺点剖析东西)
安b: apt-get install default-jdk
小试一下身手,大概是没问题了,那么交给你个任务,做个留言本吧,这和HELLO WORLD有一比啊!^_^,同是新手面临的第一道关。
小女巫 该用户已被删除
沙发
发表于 2015-2-16 00:23:57 | 只看该作者
个人呢觉得,配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下,还有重启apache。
只想知道 该用户已被删除
板凳
发表于 2015-2-20 12:04:14 | 只看该作者
曾经犯过一个很低级的错误,我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号,结果找了好几个小时的错误,事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的,应该用的是下划线  \\\\\\\'_\\\\\\\' ;
地板
发表于 2015-3-4 15:59:03 | 只看该作者
说点我烦的低级错误吧,曾经有次插入mysql的时间 弄了300年结果老报错,其实mysql的时间是有限制的,大概是到203X年  具体的记不清啦,囧。
冷月葬花魂 该用户已被删除
5#
发表于 2015-3-7 10:24:38 | 只看该作者
环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候,我强烈建议多读php手册。
若相依 该用户已被删除
6#
发表于 2015-3-14 20:20:50 | 只看该作者
要进行开发,搭建环境是首先需要做的事,windows下面我习惯把环境那个安装在C盘下面,因为我配的环境经常出现诡异事件,什么事都没做环境有的时候就不能用啦。
若天明 该用户已被删除
7#
发表于 2015-3-15 13:37:52 | 只看该作者
使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。
蒙在股里 该用户已被删除
8#
发表于 2015-3-17 21:09:34 | 只看该作者
先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。
金色的骷髅 该用户已被删除
9#
发表于 2015-3-25 02:39:27 | 只看该作者
不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。
透明 该用户已被删除
10#
发表于 2015-3-27 06:07:28 | 只看该作者
这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。
山那边是海 该用户已被删除
11#
发表于 2015-3-28 07:21:12 | 只看该作者
实践是检验自己会不会的真理。
谁可相欹 该用户已被删除
12#
发表于 2015-4-1 18:56:20 | 只看该作者
本人接触php时间不长,算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指,碰过不少疙瘩,呗很多小问题卡过很久,白白浪费不少宝贵的时间,在次分享一些子的学习的心得。
海妖 该用户已被删除
13#
发表于 2015-4-4 08:59:11 | 只看该作者
作为一个合格的coder 编码的规范是必须,命名方面我推崇“驼峰法”,另外就是自己写的代码最好要带注释,不然时间长了,就算是自己的代码估计看起来都费事,更不用说别人拉。
简单生活 该用户已被删除
14#
发表于 2015-4-10 04:06:42 | 只看该作者
不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。
莫相离 该用户已被删除
15#
发表于 2015-4-11 01:19:06 | 只看该作者
使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。
变相怪杰 该用户已被删除
16#
发表于 2015-4-16 00:09:01 | 只看该作者
,熟悉html,能用div+css,还有javascript,优先考虑linux。我在开始学习的时候,就想把这些知识一起学习,我天真的认为同时学习能够互相呼应,因为知识是相通的。
愤怒的大鸟 该用户已被删除
17#
发表于 2015-4-18 04:54:05 | 只看该作者
开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。
再见西城 该用户已被删除
18#
发表于 2015-5-1 19:10:21 | 只看该作者
其实也不算什么什么心得,在各位大侠算是小巫见大巫了吧,望大家不要见笑,若其中有错误的地方请各位大虾斧正。
小魔女 该用户已被删除
19#
发表于 2015-6-4 18:10:04 | 只看该作者
首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。
小妖女 该用户已被删除
20#
发表于 2015-6-12 19:29:16 | 只看该作者
这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-22 15:57

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表