PHP セキュリティ防止のヒントの共有

PHP コードのセキュリティと XSS、SQL インジェクションなどは、さまざまな Web サイト、特に XSS や SQL インジェクションの最も大きな影響を受ける領域である UGC (ユーザー生成コンテンツ) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。ここでは、システムのセキュリティと比較して、PHP のセキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。

PHP のコンパイル プロセスのセキュリティ
をお勧めします。 Suhosin パッチをインストールするには、セキュリティ パッチをインストールする必要があります。

php.ini セキュリティ設定
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
#allow_url_fopen =オフ
expose_php = オフ
open_basedir =
safe_mode = オン
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL preprocessing
mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが 0xbf27 を使用して一重引用符を置き換えることができることです。 、0xbf27 は GBK エンコードでは有効な文字ではないため、addslashes は 0xbf5c27 を有効なマルチバイト文字に変換するだけであり、0xbf5c は依然として一重引用符とみなされます。詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
prepareexecute(PDO)
ZendFramework は DB クラスの quote または quoteInto を使用できます。これらの 2 つのメソッドは、mysql の

処理にのみ使用できる mysql_real_escape_string とは異なります。ユーザー入力
HTML タグを保持する必要がない場合は、次のメソッド

strip_tags を使用して、文字列
htmlspecialchars 内のすべての HTML タグを削除します (「<」、「>」のみ)。 "、";" 、"'" 文字はエスケープされます
htmlentities、およびすべての HTML がエスケープされます

HTML タグを保持する必要がある場合は、次のツールを検討できます:
HTML Purifier: HTML Purifier PHP で書かれた標準準拠の HTML フィルター ライブラリです。
PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します。
htmLawed: HTML を浄化およびフィルターするための PHP コード

ファイルをアップロードします。
is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。
ZF フレームワークで File_upload モジュールの使用を検討できます

セッション、Cookie、フォームの安全な処理
コアの検証には Cookie に依存しないでください。重要な情報は暗号化する必要があり、送信されるたとえば、送信するフォーム要素は次のとおりです:

プログラム コード

 
 
 
< input type="hidden" name="hash " value=""" /> 


POST が戻った後にパラメータを確認します

プログラムコード

コードをコピー コードは次のとおりです。
 
$str = "" 
foreach($; _POST['H'] as $key=>$ value) { 
$str .= $key.$value 
} 
if($_POST['hash'] != md5($ str.$secret)) { 
echo "隠しフォーム データが変更されました"; exit; 

 

PHP セキュリティ検出ツール (XSS および SQL 挿入) 
Wapiti・Webアプリケーションセキュリティ監査 (Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃チェックツール) 
インストール・利用方法： 
apt-get install libtidy-0.99-0 python-ctypes python-utidylib 
python wapiti.py http://あなたのWebサイトURL/ -m GET_XSS 
Pixy: 、XSS検出機能が強力です) 
PHPIDS - PHP侵入検知システム