PHPのセキュリティ予防知識

PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。これらの Web サイトは XSS や XSS の最も大きな影響を受ける分野です。 SQLインジェクション。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。
PHP コンパイル時のセキュリティ
Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります
php.ini のセキュリティ設定
register_global = オフ
magic_quotes_gpc = オフ
表示エラー = オフ
log_error = オン
#allow_url_fopen = オフ
Expose_php = オフ
open_basedir =
セーフモード = オン
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL 前処理
mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。
準備 + 実行(PDO)
ZendFramework は DB クラスの quote または quoteInto を使用できます。これら 2 つのメソッドは、mysql
に対してのみ使用できる mysql_real_escape_string とは異なります。
ユーザー入力の処理
HTML タグを保持する必要がない場合は、次のメソッドを使用できます
ストリップタグ、文字列内のすべての HTML タグを削除します
htmlspecialchars、文字「<」、「>」、「;」、「'」のみをエスケープします
htmlentities、すべての HTML をエスケープ
HTML タグを保持する必要がある場合は、次のツールを検討してください:
HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。
PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します
htmllawed: HTML を精製およびフィルタリングするための PHP コード

ファイルをアップロード
HTTP_POST_FILES[] 配列を使用して、is_uploaded_file 関数と move_uploaded_file 関数を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。
ZF フレームワークで File_upload モジュール
の使用を検討できます。 セッション、Cookie、フォームの安全な処理
重要な情報は、フォーム投稿の前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。
"" />
POST が戻ったらパラメータを確認します
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "非表示のフォームデータが変更されました";
}
PHP セキュリティ検出ツール (XSS および SQL 挿入)
Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)
インストール/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS
Pixy: PHP 用 XSS および SQLI スキャナー(Pixy - PHP ソース コード欠陥分析ツール)
インストール: apt-get install default-jdk