PHP安全防护要点分析_PHP教程
关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。
例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP 中设置的。
PHP安全防护清单 1. 安全无暇的代码
<ol class="dp-xml"> <li class="alt"><span><span class="tag"><span> ?php </span></span></span></li> <li> <span>$</span><span class="attribute">myUsername</span><span> = ‘tmyer’; </span> </li> <li class="alt"> <span>$</span><span class="attribute-value">array</span><span class="attribute">arrayUsers</span><span> = array<br>(’tmyer’, ‘tom’, ‘tommy’); </span> </li> <li><span>define(”GREETING”, ‘hello<br> there’ . $myUsername); </span></li> <li class="alt"> <span class="tag">?></span><span> </span> </li> </ol>
但是,下面的数据元素都是有瑕疵的。
PHP安全防护清单 2. 不安全、有瑕疵的代码
<ol class="dp-xml"> <li class="alt"><span><span class="tag"><span> ?php </span></span></span></li> <li> <span>$</span><span class="attribute">myUsername</span><span> = $_POST[’username’]; <br>//tainted! </span> </li> <li class="alt"> <span>$</span><span class="attribute-value">array</span><span class="attribute">arrayUsers</span><span> = array($my<br>Username, ‘tom’, ‘tommy’); <br>//tainted! </span> </li> <li><span>define(”GREETING”, ‘hello there’ <br>. $myUsername); //tainted! </span></li> <li class="alt"> <span class="tag">?></span><span> </span> </li> </ol>
为 什么第一个变量 $myUsername 是有瑕疵的?因为它直接来自表单 POST。用户可以在这个输入域中输入任何字符串,包括用来清除文件或运行以前上传的文件的恶意命令。
您可能会问,“难道不能使用只接受字母 A-Z 的客户端(Javascrīpt)表单检验脚本来避免这种危险吗?”是的,这总是一个有好处的步骤,但是正如在后面会看到的,任何人都可以将任何表单下载 到自己的机器上,修改它,然后重新提交他们需要的任何内容。
解决方案很简单:必须对 $_POST[’username’] 运行清理代码。如果不这么做,那么在使用 $myUsername 的任何其他时候(比如在数组或常量中),就可能污染这些对象。
对用户输入进行清理的一个简单方法是,使用正则表达式来处理它。在这个示例中,只希望接受字母。将字符串限制为特定数量的字符,或者要求所有字母都是小写的,这可能也是个好主意。
PHP安全防护清单 3. 使用户输入变得安全
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">myUsername</span><span> = </span><span class="attribute-value">cleanInput</span><span>($_<br>POST[’username’]); //clean! </span>
</li>
<li class="alt">
<span>$</span><span class="attribute-value">array</span><span class="attribute">arrayUsers</span><span> = array(<br>$myUsername, ‘tom’, ‘tommy’); //clean! </span>
</li>
<li><span>define(”GREETING”, ‘hello <br>there’ . $myUsername); //clean! </span></li>
<li class="alt"><span>function cleanInput($input){ </span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">strtolower</span><span>($input); </span>
</li>
<li class="alt">
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">preg_replace</span><span>(”/[^a-z]<br>/”, “”, $clean); </span>
</li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">substr</span><span>($clean,0,12); </span>
</li>
<li class="alt"><span>return $clean; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>以上就是PHP安全防护的相关技巧讲解。
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1376
52
Panduan Pemasangan dan Naik Taraf PHP 8.4 untuk Ubuntu dan Debian
Dec 24, 2024 pm 04:42 PM
PHP 8.4 membawa beberapa ciri baharu, peningkatan keselamatan dan peningkatan prestasi dengan jumlah penamatan dan penyingkiran ciri yang sihat. Panduan ini menerangkan cara memasang PHP 8.4 atau naik taraf kepada PHP 8.4 pada Ubuntu, Debian, atau terbitan mereka
Tarikh dan Masa CakePHP
Sep 10, 2024 pm 05:27 PM
Untuk bekerja dengan tarikh dan masa dalam cakephp4, kami akan menggunakan kelas FrozenTime yang tersedia.
Muat naik Fail CakePHP
Sep 10, 2024 pm 05:27 PM
Untuk mengusahakan muat naik fail, kami akan menggunakan pembantu borang. Di sini, adalah contoh untuk muat naik fail.
Bincangkan CakePHP
Sep 10, 2024 pm 05:28 PM
CakePHP ialah rangka kerja sumber terbuka untuk PHP. Ia bertujuan untuk menjadikan pembangunan, penggunaan dan penyelenggaraan aplikasi lebih mudah. CakePHP adalah berdasarkan seni bina seperti MVC yang berkuasa dan mudah difahami. Model, Pandangan dan Pengawal gu
Pengesah Mencipta CakePHP
Sep 10, 2024 pm 05:26 PM
Pengesah boleh dibuat dengan menambah dua baris berikut dalam pengawal.
Pembalakan CakePHP
Sep 10, 2024 pm 05:26 PM
Log masuk CakePHP adalah tugas yang sangat mudah. Anda hanya perlu menggunakan satu fungsi. Anda boleh log ralat, pengecualian, aktiviti pengguna, tindakan yang diambil oleh pengguna, untuk sebarang proses latar belakang seperti cronjob. Mengelog data dalam CakePHP adalah mudah. Fungsi log() disediakan
Cara Menyediakan Kod Visual Studio (Kod VS) untuk Pembangunan PHP
Dec 20, 2024 am 11:31 AM
Kod Visual Studio, juga dikenali sebagai Kod VS, ialah editor kod sumber percuma — atau persekitaran pembangunan bersepadu (IDE) — tersedia untuk semua sistem pengendalian utama. Dengan koleksi sambungan yang besar untuk banyak bahasa pengaturcaraan, Kod VS boleh menjadi c
Perkhidmatan CakePHP
Sep 10, 2024 pm 05:26 PM
Bab ini membincangkan maklumat tentang proses pengesahan yang terdapat dalam CakePHP.
