提高PHP網(wǎng)站安全性的技巧_第1頁
提高PHP網(wǎng)站安全性的技巧_第2頁
提高PHP網(wǎng)站安全性的技巧_第3頁
提高PHP網(wǎng)站安全性的技巧_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

淄博怡源網(wǎng)絡(luò)科技有限公司版權(quán)所有:淄博SEO技巧1:使用合適的錯(cuò)誤報(bào)告一般在開發(fā)過程中,很多程序員總是忘了制作程序錯(cuò)誤報(bào)告,這是極大的錯(cuò)誤,因?yàn)榍‘?dāng)?shù)腻e(cuò)誤報(bào)告不僅僅是最好的調(diào)試工具,也是極佳的安全漏洞檢測工具,這能讓你把應(yīng)用真正上線前盡可能找出你將會(huì)遇到的問題。當(dāng)然也有很多方式去啟用錯(cuò)誤報(bào)告。比如在php.in配置文件中你可以設(shè)置在運(yùn)行時(shí)啟用啟動(dòng)錯(cuò)誤報(bào)告error_reporting(E_ALL);停用錯(cuò)誤報(bào)告error_reporting(0);技巧2:不使用PHP的Weak屬性有幾個(gè)PHP的屬性是需要被設(shè)置為OFF的。一般它們都存在于PHP4里面,而在PHP5中是不推薦使用的。尤其最后在PHP6里面,這些屬性都被移除了。注冊(cè)全局變量當(dāng)register_globals被設(shè)置為ON時(shí),就相當(dāng)于設(shè)置Environment,GET,POST,COOKIE或者Server變量都定義為全局變量。此時(shí)你根本不需要去寫$_POST['username']來獲取表單變量'username',只需要'$username'就能獲取此變量了。那么你肯定在想既然設(shè)置register_globals為ON有這么方便的好處,那為什么不要使用呢?因?yàn)槿绻氵@樣做將會(huì)帶來很多安全性的問題,而且也可能與局部變量名稱相沖突。比如先看看下面的代碼:if(!empty($_POST['username'])&&$_POST['username']==‘test123′&&!empty($_POST['password'])&&$_POST['password']==“pass123″){$access=true;}如果運(yùn)行期間,register_globals被設(shè)置為ON,那么用戶只需要傳輸access=1在一句查詢字符串中就能獲取到PHP腳本運(yùn)行的任何東西了。在.htaccess中停用全局變量php_flagregister_globals0在php.ini中停用全局變量register_globals=Off停用類似magic_quotes_gpc,magic_quotes_runtime,magic_quotes_sybase這些MagicQuotes在.htaccess文件中設(shè)置php_flagmagic_quotes_gpc0php_flagmagic_quotes_runtime0在php.ini中設(shè)置magic_quotes_gpc=Offmagic_quotes_runtime=Offmagic_quotes_sybase=Off技巧3:驗(yàn)證用戶輸入你當(dāng)然也可以驗(yàn)證用戶的輸入,首先必須知道你期望用戶輸入的數(shù)據(jù)類型。這樣就能在瀏覽器端做好防御用戶惡意攻擊你的準(zhǔn)備。技巧4:避免用戶進(jìn)行交叉站點(diǎn)腳本攻擊在Web應(yīng)用中,都是簡單地接受用戶輸入表單然后反饋結(jié)果。在接受用戶輸入時(shí),如果允許HTML格式輸入將是非常危險(xiǎn)的事情,因?yàn)檫@也就允許了JavaScript以不可預(yù)料的方式侵入后直接執(zhí)行。哪怕只要有一個(gè)這樣漏洞,cookie數(shù)據(jù)都可能被盜取進(jìn)而導(dǎo)致用戶的賬戶被盜取。技巧5:預(yù)防SQL注入攻擊PHP基本沒有提供任何工具來保護(hù)你的數(shù)據(jù)庫,所以當(dāng)你連接數(shù)據(jù)庫時(shí),你可以使用下面這個(gè)mysqli_real_escape_string函數(shù)。$username=mysqli_real_escape_string($GET['username']);mysql_query(“SELECT*FROMtbl_e

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論