PHP が現在最も人気のある Web アプリケーション プログラミング言語であることは誰もが知っています。しかし、他のスクリプト言語と同様に、PHP にもいくつかの危険なセキュリティ ホールがあります。したがって、このチュートリアルでは、一般的な PHP セキュリティ問題を回避するのに役立ついくつかの実践的なヒントを見ていきます。
ヒント 1: 適切なエラー報告を使用する
一般に、開発プロセス中、多くのプログラマは常にプログラム エラー レポートを作成することを忘れます。これは大きな間違いです。適切なエラー レポートは、最良のデバッグ ツールであるだけでなく、優れたセキュリティ脆弱性検出ツールでもあるからです。アプリケーションをオンラインにする前に発生する問題を可能な限り解決します。
もちろん、エラー報告を有効にする方法はたくさんあります。たとえば、php.in 構成ファイルで、実行時に有効になるように設定できます
バグレポートを開始
リーリーエラー報告を無効にする リーリー
OFF に設定する必要がある PHP 属性がいくつかあります。通常、これらは PHP4 に存在しますが、PHP5 では使用は推奨されません。特に PHP6 では、これらの属性が削除されました。
グローバル変数を登録するregister_globals が ON に設定されている場合、Environment、GET、POST、COOKIE または Server 変数がグローバル変数として定義されている設定と同じになります。現時点では、フォーム変数「username」を取得するために $_POST['username'] を記述する必要はありません。この変数を取得するには、「$username」だけが必要です。
register_globals を ON に設定すると、非常に便利なメリットがあるので、それを使用しないのではないかと考えているはずです。これを行うと多くのセキュリティ上の問題が発生し、ローカル変数名と競合する可能性があるためです。
たとえば、次のコードを見てください:
リーリーif( !empty( $_POST['username'] ) && $_POST['username'] == 'test123' && !empty( $_POST['password'] ) && $_POST['password'] == "pass123 '' )
.htaccess のグローバル変数を無効にする
リーリー
php_flag register_globals 0register_globals = オフ
.htaccess ファイルに設定します
リーリーphp_flag magic_quotes_gpc 0
magic_quotes_gpc = オフ
もちろん、ユーザー入力を検証することもできます。まず、ユーザーが入力することが予想されるデータ型を知る必要があります。このようにして、ユーザーによる悪意のある攻撃をブラウザ側で防ぐことができます。
ヒント 4: ユーザーによるクロスサイト スクリプティング攻撃を回避するWeb アプリケーションでは、フォームでユーザー入力を受け入れ、結果をフィードバックするのが簡単です。ユーザー入力を受け入れる場合、HTML 形式の入力を許可すると、JavaScript が予期しない方法で侵入して直接実行される可能性があるため、非常に危険です。このような脆弱性が 1 つでもあると、Cookie データが盗まれ、ユーザーのアカウントが盗まれる可能性があります。
ヒント 5: SQL インジェクション攻撃を防ぐPHP は基本的にデータベースを保護するツールを提供していないため、データベースに接続するときに、以下の mysqli_real_escape_string 関数を使用できます。 リーリー
記事の保存元: phpzag.com
http://www.bkjia.com/PHPjc/735148.html
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
