复习PHP-安全-创新互联

1.安全记录

创新互联建站主营秦州网站建设的网络公司,主营网站建设方案,app软件定制开发,秦州h5微信小程序开发搭建,秦州网站营销推广欢迎秦州等地区企业咨询

修改php.ini中的open_basedir,防止越目录访问文件。

如果php作为apache模块时,apache的权限一定不能为root。

如果php作为apache模块时,应当使用apache验证/LDAP/.htaccess等来设计自己的访问模型,并把这些代码作为php脚本的一部分。

php不能有root权限,否则将有可能有权限删除和修改系统中的任何文件。

任何用户提交的数据都必须经过检查和过滤。(特别对于文件的操作,必须要考虑到各种URL情况)

必须要考虑\0在文件路径中的作用。(C语言如果读到\0会停止继续读取)

SQL语句中的--是忽略后面句子的意思。

SQL中能确定变量的类型的,一定要强制转换类型,而不要让它存在不可预计的情况。(如age=’{$age}’,需要将$age强制int 或float)

必须时刻注意SQL语句中变量可能被变形的情况。

操作数据库时可使用mysql_escape_string/sql_escape_string/addslashes/str_replace把敏感字符转义。

记录SQL查询日志用于检查问题是个好办法。

合理运用PDO参数化进行SQL查询是个较好的办法。

-----(以下摘自PHP手册)

  • 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。
  • 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数和字符类型函数(比如 is_numeric(),ctype_digit())到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。
  • 如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用 settype() 来转换它的类型,也可以用 sprintf() 把它格式化为数字。

2.错误报告

常用的可行性办法为测试开发时打开error_reporting 为E_ALL,正式上线改为0 并且关闭display_error 同时打开error_log记录错误日志。

虽然默认将register global、magic_quotes关闭但也应当检查一下是否确定为关闭。

------(以下摘自PHP手册,在用户提交表单时,必须联想到)

  • 此脚本是否只能影响所预期的文件?
  • 非正常的数据被提交后能否产生作用?
  • 此脚本能用于计划外的用途吗?
  • 此脚本能否和其它脚本结合起来做坏事?
  • 是否所有的事务都被充分记录了?

3.隐藏PHP

php.ini 文件里设置 expose_php = off ,可以减少他们能获得的有用信息。

另一个策略就是让 web 服务器用 PHP 解析不同扩展名。无论是通过 .htaccess 文件还是 Apache 的配置文件,都可以设置能误导***者的文件扩展名:

# 使PHP看上去像其它的编程语言
AddType application/x-httpd-php .asp .py .pl
4.保持更新
时常更新PHP版本啊哈哈。

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


本文名称:复习PHP-安全-创新互联
文章来源:http://scyanting.com/article/coppij.html