提高PHP網(wǎng)站安全性的技巧

淄博怡源網(wǎng)絡科技有限公司版權所有：淄博SEO技巧1：使用合適的錯誤報告一般在開發(fā)過程中，很多程序員總是忘了制作程序錯誤報告，這是極大的錯誤，因為恰當?shù)腻e誤報告不僅僅是最好的調(diào)試工具，也是極佳的安全漏洞檢測工具，這能讓你把應用真正上線前盡可能找出你將會遇到的問題。當然也有很多方式去啟用錯誤報告。比如在php.in配置文件中你可以設置在運行時啟用啟動錯誤報告error_reporting(E_ALL);停用錯誤報告error_reporting(0);技巧2：不使用PHP的Weak屬性有幾個PHP的屬性是需要被設置為OFF的。一般它們都存在于PHP4里面，而在PHP5中是不推薦使用的。尤其最后在PHP6里面，這些屬性都被移除了。注冊全局變量當register_globals被設置為ON時，就相當于設置Environment，GET,POST,COOKIE或者Server變量都定義為全局變量。此時你根本不需要去寫$_POST['username']來獲取表單變量'username'，只需要'$username'就能獲取此變量了。那么你肯定在想既然設置register_globals為ON有這么方便的好處，那為什么不要使用呢？因為如果你這樣做將會帶來很多安全性的問題，而且也可能與局部變量名稱相沖突。比如先看看下面的代碼：if(!empty($_POST['username'])&&$_POST['username']==‘test123′&&!empty($_POST['password'])&&$_POST['password']==“pass123″){$access=true;}如果運行期間,register_globals被設置為ON，那么用戶只需要傳輸access=1在一句查詢字符串中就能獲取到PHP腳本運行的任何東西了。在.htaccess中停用全局變量php_flagregister_globals0在php.ini中停用全局變量register_globals=Off停用類似magic_quotes_gpc,magic_quotes_runtime,magic_quotes_sybase這些MagicQuotes在.htaccess文件中設置php_flagmagic_quotes_gpc0php_flagmagic_quotes_runtime0在php.ini中設置magic_quotes_gpc=Offmagic_quotes_runtime=Offmagic_quotes_sybase=Off技巧3：驗證用戶輸入你當然也可以驗證用戶的輸入，首先必須知道你期望用戶輸入的數(shù)據(jù)類型。這樣就能在瀏覽器端做好防御用戶惡意攻擊你的準備。技巧4：避免用戶進行交叉站點腳本攻擊在Web應用中，都是簡單地接受用戶輸入表單然后反饋結果。在接受用戶輸入時，如果允許HTML格式輸入將是非常危險的事情，因為這也就允許了JavaScript以不可預料的方式侵入后直接執(zhí)行。哪怕只要有一個這樣漏洞，cookie數(shù)據(jù)都可能被盜取進而導致用戶的賬戶被盜取。技巧5：預防SQL注入攻擊PHP基本沒有提供任何工具來保護你的數(shù)據(jù)庫，所以當你連接數(shù)據(jù)庫時，你可以使用下面這個mysqli_real_escape_string函數(shù)。$username=mysqli_real_escape_string($GET['username']);mysql_query(“SELECT*FROMtbl_e