PHPのセキュリティ予防知識
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。これらの Web サイトは XSS や XSS の最も大きな影響を受ける分野です。 SQLインジェクション。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。
PHP コンパイル時のセキュリティ
Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります
php.ini のセキュリティ設定
register_global = オフ
magic_quotes_gpc = オフ
表示エラー = オフ
log_error = オン
#allow_url_fopen = オフ
Expose_php = オフ
open_basedir =
セーフモード = オン
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =
DB SQL 前処理
mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
準備 + 実行(PDO)
ZendFramework は DB クラスの quote または quoteInto を使用できます。これら 2 つのメソッドは、mysql
に対してのみ使用できる mysql_real_escape_string とは異なります。
ユーザー入力の処理
HTML タグを保持する必要がない場合は、次のメソッドを使用できます
ストリップタグ、文字列内のすべての HTML タグを削除します
htmlspecialchars、文字「<」、「>」、「;」、「'」のみをエスケープします
htmlentities、すべての HTML をエスケープ
HTML タグを保持する必要がある場合は、次のツールを検討してください:
HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。
PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します
htmllawed: HTML を精製およびフィルタリングするための PHP コード
ファイルをアップロード
HTTP_POST_FILES[] 配列を使用して、is_uploaded_file 関数と move_uploaded_file 関数を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。
ZF フレームワークで File_upload モジュール
の使用を検討できます。
セッション、Cookie、フォームの安全な処理
重要な情報は、フォーム投稿の前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。
"" />
POST が戻ったらパラメータを確認します
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "非表示のフォームデータが変更されました";
}
PHP セキュリティ検出ツール (XSS および SQL 挿入)
Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)
インストール/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS
Pixy: PHP 用 XSS および SQLI スキャナー(Pixy - PHP ソース コード欠陥分析ツール)
インストール: apt-get install default-jdk
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7471
15
1377
52
77
11
19
30
Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド
Dec 24, 2024 pm 04:42 PM
PHP 8.4 では、いくつかの新機能、セキュリティの改善、パフォーマンスの改善が行われ、かなりの量の機能の非推奨と削除が行われています。 このガイドでは、Ubuntu、Debian、またはその派生版に PHP 8.4 をインストールする方法、または PHP 8.4 にアップグレードする方法について説明します。
CakePHP について話し合う
Sep 10, 2024 pm 05:28 PM
CakePHP は、PHP 用のオープンソース フレームワークです。これは、アプリケーションの開発、展開、保守をより簡単にすることを目的としています。 CakePHP は、強力かつ理解しやすい MVC のようなアーキテクチャに基づいています。モデル、ビュー、コントローラー
CakePHP ファイルのアップロード
Sep 10, 2024 pm 05:27 PM
ファイルのアップロードを行うには、フォーム ヘルパーを使用します。ここではファイルアップロードの例を示します。
PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法
Dec 20, 2024 am 11:31 AM
Visual Studio Code (VS Code とも呼ばれる) は、すべての主要なオペレーティング システムで利用できる無料のソース コード エディター (統合開発環境 (IDE)) です。 多くのプログラミング言語の拡張機能の大規模なコレクションを備えた VS Code は、
CakePHP クイックガイド
Sep 10, 2024 pm 05:27 PM
CakePHP はオープンソースの MVC フレームワークです。これにより、アプリケーションの開発、展開、保守がはるかに簡単になります。 CakePHP には、最も一般的なタスクの過負荷を軽減するためのライブラリが多数あります。
PHPでHTML/XMLを解析および処理するにはどうすればよいですか?
Feb 07, 2025 am 11:57 AM
このチュートリアルでは、PHPを使用してXMLドキュメントを効率的に処理する方法を示しています。 XML(拡張可能なマークアップ言語)は、人間の読みやすさとマシン解析の両方に合わせて設計された多用途のテキストベースのマークアップ言語です。一般的にデータストレージに使用されます
