菜单

PHP安全防范技巧分享_php技巧_脚本之家

2020年1月20日 - 澳门太阳娱乐手机登录

PHP代码安全和XSS,SQL注入等对于各个网址的双鸭山十一分中用,尤其是UGC(User
Generated
Content卡塔尔网址,论坛和电商网址,平时是XSS和SQL注入的重灾害区。这里差不离介绍一些为网编制程序要点,
相对系统安全来说,php安全堤防越来越多须要编制程序职员对客商输入的各个参数能更精心.
php编写翻译进程中的安全 提议设置Suhosin补丁,必装安全补丁 php.ini安全设置
register_global = off magic_quotes_gpc = off display_error = off
log_PHP安全防范技巧分享_php技巧_脚本之家。error = on # allow_url_fopen = off expose_php = off
open_basedir = safe_mode = on disable_function =
exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir = DB SQL预处理 mysql_real_escape_string
(非常多PHPer仍在依靠addslashes幸免SQL注入,可是这种格局对汉语编码仍是非凡的。addslashes的标题在于红客能够用0xbf27来代表单引号,GBK编码中0xbf27不是贰个合法字符,因而addslashes只是将0xbf5c27,成为一个卓有作用的多字节字符,个中的0xbf5c仍会被看做是单引号,具体见那篇随笔)。用mysql_real_escape_string函数也急需钦命正确的字符集,不然依旧可能不通常。
prepare + execute ZendFramework能够用DB类的quote大概quoteInto,
那七个方式是基于种种数据库奉行不用方法的,不会像mysql_real_escape_string只可以用于mysql
客商输入的管理 没有必要保留HTML标签的能够用以下方法 strip_tags,
删除string中颇负html标签 htmlspecialchars,只对””,”;”,”’”字符进行转义
htmlentities,对持有html实行转义
必得保留HTML标签情形下能够设想以下工具: HTML Purifier: HTML Purifier is
a standards-compliant HTML filter library written in PHP. PHP HTML
Sanitizer: Remove unsafe tags and attributes from HTML code htmLawed:
PHP code to purify & filter HTML 上传文件
用is_uploaded_file和move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并透过去掉上传目录的PHP解释功效来严防顾客上传php脚本。
ZF框架下得以虚构使用File_upload模块 Session,Cookie和Form的平安管理不要注重Cookie实行着力验证,首要音信需求加密, Form
Post在此之前对传输数据举行哈希, 比如你发出去的form成分如下: 程序代码

    POST回来之后对参数进行验证 程序代码 复制代码 代码如下: $str = ""; foreach($_POST['H'] as $key=>$value) { $str .= $key.$value; } if($_POST['hash'] != md5 { echo "Hidden form data modified"; exit; } PHP安全检测工具 Wapiti - Web application security auditor (SQL injection/XSS攻击检查工具) 安装/使用方法: apt-get install libtidy-0.99-0 python-ctypes python-utidylib python wapiti.py http://Your Website URL/ -m GET_XSS Pixy: XSS and SQLI Scanner for PHP 安装: apt-get install default-jdk Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强) PHPIDS - PHP 入侵检测系统

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图