PHP四大安全策略

网络编程 2024/9/29 佚名

3 1 2

一、文件系统安全
php如果具有root权限，且在脚本中允许用户删除文件，那么用户提交数据，不进行过滤，就非常有可能删除系统文件

<?php
// 从用户目录中删除指定的文件
$username = $_POST['user_submitted_name'];
$userfile = $_POST['user_submitted_filename'];
$homedir = "/home/$username";
unlink ("$homedir/$userfile");
echo "The file has been deleted!";
?>
上面的代码，假设用户提交的$userfile值是 ../etc/，那么/etc目录就会被删除
防范文件系统攻击，策略如下

只给php有限的权限
用户提交上来的变量要监测和过滤，不能包含文件路径等特殊字符
尽量避免使用PHP操作文件（删除），如果有这方面的需求，那用户可删除文件也必须是系统生成的随机名称，不可被用户控制
二、数据库安全
数据库安全主要防范的是sql injection，即sql注入攻击，提升数据库安全的策略如下：

不用使用root帐号或者数据库所有者帐号连接数据库，连接数据库限定连接用户的ip
使用php的pdo扩展，有效防止sql注入，除了安全方面的优势，php的pdo扩展在性能方面有有很大优势
请参看 http://php.net/manual/en/pdo.prepared-statements.php
对一些敏感信息进行加密，常见的比如对密码进行加密
三、用户数据过滤
对用户数据过滤，可以防范XSS和CSRF攻击

使用白名单（用户输入是固定模式）的方式
比如用户名只能使用数字字母，那么可以使用函数ctype_alnum判断
对用户输入使用函数 htmlentities或者htmlspecialchars进行处理，输入url不允许传入非http协议
用户身份验证使用令牌 token(csrf)
http://htmlpurifier.org/ HTML Purifier 是开源的防范xss攻击的有效解决方案，
四、其他安全策略
线上环境关闭错误报告(error_reporting,dislay_erros，可在php.ini中配置error_log路径，记录错误信息，这样有助于发现可能的用户攻击)
Register Globals,弃用（移除）的特性，不要使用
魔术引号特性，不要开启，在PHP-5.4中已经被移除
尽量使用PHP的最新版本，最新版本修复了已知的很多安全漏洞和bug
代码中严格遵守上述策略，基本能保证代码不会有太多的安全漏洞，能防范常见攻击。

PHP,PHP安全

华山资源网 Design By www.eoogi.com

广告合作：本站广告合作请联系QQ：858582 申请时备注：广告合作（否则不回）
免责声明：本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除！

华山资源网 Design By www.eoogi.com

评论“PHP四大安全策略”

暂无评论...

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容，新游玩模式《强袭风暴》即将于3月21 日在亚服上线，届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕，并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时，他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中，玩家将会进入一个全新的海盗主题大逃杀式限时活动，其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场，作为一个独立于主游戏之外的活动，玩家可以用大逃杀的风格来体验《魔兽世界》，不分职业、不分装备（除了你在赛局中捡到的），光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式，玩家在加入海盗主题的预赛大厅区域前，可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹，《巨龙崛起》和《魔兽世界：巫妖王之怒经典版》的玩家都可以获得奖励。

更新日志

2024年09月29日

PHP四大安全策略

PHP的变量类型和作用域详解

PHP中4个加速、缓存扩展的区别和选用建议

评论“PHP四大安全策略”

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

更新日志

友情链接